Azure Stack Hub hálózati integráció integrálása

Ez a témakör a Azure Stack való integrációval foglalkozik.

A hálózati integráció tervezése fontos előfeltétel az integrált Azure Stack üzembe helyezéséhez, működéséhez és felügyeletéhez. A határkapcsolatok tervezése azzal kezdődik, hogy kiválasztja, hogy dinamikus útválasztást kíván-e használni a Border Gateway Protocol (BGP) protokollal. Ehhez 16 bites BGP autonóm rendszerszámot kell hozzárendelni (nyilvános vagy privát), vagy statikus útválasztást kell használni, ahol a szegélyeszközökhöz statikus alapértelmezett útvonal van rendelve.

Az állványra (TOR) csatlakozókhoz 3. rétegi, pont–pont IP-kapcsolattal (/30 hálózat) konfigurált, fizikai csatolóra konfigurált kapcsolatokra van szükség. A 2. rétegben található, a Azure Stack-műveleteket támogató TOR-kapcsolók nem támogatottak.

BGP-útválasztás

A BGP-hez hasonló dinamikus útválasztási protokoll használata garantálja, hogy a rendszer mindig értesül a hálózati változásokról, és megkönnyíti a felügyeletet. A fokozott biztonság érdekében a tor és a szegély közötti BGP-társviszonyhoz jelszó is beállítható.

Ahogy az alábbi ábrán látható, a PRIVÁT IP-címtér meghirdetése a TOR-kapcsolón előtaglista használatával le van tiltva. Az előtaglista megtagadja a privát hálózat hirdetését, és útvonaltérképként lesz alkalmazva a TOR és a szegély közötti kapcsolatra.

A szoftveres Load Balancer (SLB) fut az Azure Stack megoldás társviszonyai között a TOR-eszközökkel, így dinamikusan meghirdetheti a VIP-címeket.

Annak érdekében, hogy a felhasználói forgalom azonnal és transzparens módon helyreálljön a meghibásodás után, a TOR-eszközök között konfigurált VPC vagy MLAG lehetővé teszi a többvázú kapcsolatösszesítés használatát a gazdagépekre és a HSRP vagy VRRP számára, amely hálózati redundanciát biztosít az IP-hálózatok számára.

Statikus útválasztás

A statikus útválasztás további konfigurálást igényel a szegélyeszközökön. Ez több manuális beavatkozást és kezelést igényel, valamint alapos elemzést igényel a változások előtt. A konfigurációs hibák által okozott problémák a végrehajtott módosításoktól függően több időt is vehetnek a visszaállításra. Ez az útválasztási módszer nem ajánlott, de támogatott.

Ahhoz, Azure Stack statikus útválasztás használatával integrálja a hálózati környezetbe, mind a négy fizikai kapcsolatot csatlakoztatni kell a szegély és a TOR-eszköz között. A magas rendelkezésre állás a statikus útválasztás működése miatt nem garantálható.

A szegélyeszközt statikus útvonalakkal kell konfigurálni, amelyek a TOR és a Border közötti négy P2P IP-cím mindegyikére mutatnak a Azure Stack-ban lévő bármely hálózat felé történő forgalomhoz, de csak a külső vagy nyilvános VIP-hálózatra van szükség a működéshez. A BMC és a külső hálózatok statikus útvonalai szükségesek a kezdeti üzembe helyezéshez. Az operátorok dönthetnek úgy, hogy a BMC-n és az infrastruktúra-hálózaton található felügyeleti erőforrásokhoz való hozzáféréshez statikus útvonalakat hagynak a szegélyen. Az infrastruktúra- és kapcsolókezelési hálózatok közötti váltáshoz nem kötelező statikus útvonalakat hozzáadni.

A TOR-eszközök egy statikus alapértelmezett útvonalon vannak konfigurálva, amely az összes forgalmat a szegélyeszközökre küldi. Az alapértelmezett szabály egyetlen forgalmi kivétele a privát térre vonatkozik, amelyet a rendszer letilt a tor Access Control to border connection (tor- és szegélykapcsolatra) alkalmazott Access Control listával.

A statikus útválasztás csak a TOR és a szegélykapcsolók közötti kimenő kapcsolatokra vonatkozik. A BGP dinamikus útválasztást az állványon belül használják, mivel ez az SLB és más összetevők alapvető eszköze, és nem tiltható le vagy távolítható el.

* A BMC-hálózat nem kötelező az üzembe helyezés után.

** A Switch Infrastructure hálózat nem kötelező, mivel a teljes hálózat része lehet a kapcsolókezelési hálózatnak.

A kapcsolókezelési hálózat szükséges, és az infrastruktúraváltási hálózattól elkülönítve hozzáadható.

Transzparens proxy

Ha az adatközpont megköveteli, hogy minden forgalom proxyt használjon, konfigurálnia kell egy transzparens proxyt, amely az állványról származó összes forgalmat feldolgozva a szabályzatnak megfelelően kezeli azt, elkülönítve a forgalmat a hálózat zónái között.

A Azure Stack megoldás nem támogatja a normál webes proxykat

A transzparens proxy (más néven elfogó, beágyazott vagy kényszerített proxy) elfogja a normál kommunikációt a hálózati rétegben anélkül, hogy speciális ügyfél-konfigurációra lenne szükség. Az ügyfeleknek nem kell figyelmét a proxy meglétére.

Az SSL-forgalom elfogása nem támogatott, és szolgáltatáshibákat okozhat a végpontok elérésekor. Az identitáshoz szükséges végpontokkal való kommunikáció maximális támogatott időkorlátja 60-as, 3 újrapróbálkozási kísérlet.

DNS

Ez a szakasz a tartománynévrendszer (DNS) konfigurációját tartalmazza.

Feltételes DNS-továbbítás konfigurálása

Ez csak egy központi telepítésre AD FS vonatkozik.

A névfeloldás meglévő DNS-infrastruktúrával való engedélyezéséhez konfigurálja a feltételes továbbítást.

Feltételes továbbító hozzáadásához a kiemelt végpontot kell használnia.

Ehhez az eljáráshoz olyan számítógépet használjon az adatközpont hálózatában, amely képes kommunikálni a felhőben található kiemelt Azure Stack.

  1. Nyisson meg egy emelt Windows PowerShell (rendszergazdaként futtatva), és csatlakozzon a kiemelt végpont IP-címére. A CloudAdmin-hitelesítéshez használja a hitelesítő adatokat.

    \$cred=Get-Credential Enter-PSSession -ComputerName \<IP Address of ERCS\> -ConfigurationName PrivilegedEndpoint -Credential \$cred 
    
  2. Miután csatlakozott a kiemelt végponthoz, futtassa a következő PowerShell-parancsot. Helyettesítse be a megadott mintaértékeket a használni kívánt DNS-kiszolgálók tartománynevével és IP-címeivel.

    Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2" 
    

DNS Azure Stack nevek feloldása a Azure Stack

A mérvadó kiszolgálók tárolják a külső DNS-zóna adatait és a felhasználó által létrehozott zónákat. Ezekkel a kiszolgálókkal integrálva engedélyezheti a zónadelegálást vagy a feltételes továbbítást a Azure Stack DNS-nevek feloldásához a Azure Stack.

DNS-kiszolgáló külső végpontjaira vonatkozó információk lekértése

Az üzembe Azure Stack DNS-infrastruktúrával való integrálásához a következő információkra lesz szüksége:

  • DNS-kiszolgáló teljes tartománynevei

  • DNS-kiszolgáló IP-címei

Az Azure Stack DNS-kiszolgálók teljes tartománynevének formátuma a következő:

<NAMINGPREFIX > -ns01. < RÉGIÓ > . < EXTERNALDOMAINNAME (KÜLSŐ TARTOMÁNYNÉV)>

<NAMINGPREFIX > -ns02. < RÉGIÓ > . < EXTERNALDOMAINNAME (KÜLSŐ TARTOMÁNYNÉV)>

A mintaértékek használatával a DNS-kiszolgálók teljes tartománynevei a következőek:

azs-ns01.east.cloud.fabrikam.com

azs-ns02.east.cloud.fabrikam.com

Ezek az információk a felügyeleti portálon érhetők el, de az összes Azure Stack végén, egy AzureStackStampInformation.json nevű fájlban vannak létrehozva. Ez a fájl az üzembe helyezési virtuális gép C:\CloudDeployment\logs mappájában található. Ha nem biztos abban, hogy milyen értékeket használt a Azure Stack üzemelő példányhoz, az értékeket innen kaphatja meg.

Ha az üzembe helyezési virtuális gép már nem érhető el vagy nem érhető el, az értékeket a kiemelt végponthoz való csatlakozás és az Get-AzureStackStampInformation PowerShell-parancsmag futtatásával szerezheti be. További információ: Kiemelt végpont.

Az Azure Stackre történő feltételes továbbítás beállítása

A DNS-infrastruktúrával való Azure Stack legegyszerűbb és legbiztonságosabb módszer a zóna feltételes továbbítása a szülőzónát tartalmazó kiszolgálóról. Ez a módszer akkor ajánlott, ha közvetlen irányítással van a külső DNS-névtér szülőzónát Azure Stack DNS-kiszolgálók felett.

Ha nem jártas a feltételes továbbítás DNS-sel való kiosztásában, tekintse meg a következő TechNet-cikket: Feltételes továbbító hozzárendelése tartománynévhez, vagy a DNS-megoldásra vonatkozó dokumentáció.

Olyan forgatókönyvekben, amelyekben a külső dns Azure Stack DNS-zónát a vállalati tartománynév gyermektartományának adja meg, a feltételes továbbítás nem használható. A DNS-delegálást konfigurálni kell.

Példa:

  • Vállalati DNS-tartománynév: contoso.com

  • Azure Stack DNS-tartománynév: azurestack.contoso.com

DNS-továbbító IP-címének szerkesztése

A DNS-továbbító IP-címei a kiszolgáló üzembe helyezése Azure Stack. Ha azonban a továbbító IP-címeit bármilyen okból frissíteni kell, az értékeket a kiemelt végponthoz való csatlakozással, valamint a Get-AzSDnsForwarder és az Set-AzSDnsForwarder [[-IPAddress] < IPAddress[] ] PowerShell-parancsmagok futtatásával > szerkesztheti. További információ: Kiemelt végpont.

A külső DNS-zóna delegálása az Azure Stackbe

Ahhoz, hogy a DNS-nevek feloldhatók Azure Stack üzemelő példányon kívülről, be kell állítania a DNS-delegálást.

Minden tartományregisztráló a saját DNS-kezelési eszközeit használja a tartományok névkiszolgálói rekordjainak módosítására. A regisztráló DNS-felügyeleti oldalán szerkessze a névkezelési rekordokat, és cserélje le a zóna névkezelési rekordjait a névkezelési Azure Stack.

A legtöbb DNS-regisztráló megköveteli, hogy legalább két DNS-kiszolgálót adjon meg a delegálás befejezéséhez.

Firewall

Azure Stack virtuális IP-címeket (VIP-eket) állít be az infrastruktúra-szerepkörökhöz. Ezek a VIP-címek a nyilvános IP-címkészletből vannak lefoglalva. Minden egyes VIP-t egy hozzáférés-vezérlési lista (ACL) biztosít a szoftveres hálózati rétegben. Az ACL-eket a fizikai kapcsolók (TOR-ek és BMC-k) is használják a megoldás további eszkénsítődés érdekében. Az üzembe helyezéskor megadott külső DNS-zóna minden végpontja számára létrejön egy DNS-bejegyzés. A felhasználói portálhoz például a portál DNS-állomás bejegyzése van hozzárendelve. > régió. < fqdn >.

Az alábbi architekturális diagram a különböző hálózati rétegeket és ACL-eket mutatja be:

architectural diagram shows the different network layers and ACLs

Portok és URL-címek

Ahhoz, hogy Azure Stack-szolgáltatások (például a portálok, Azure Resource Manager, DNS stb.) elérhetők legyen a külső hálózatok számára, engedélyeznie kell a végpontokra irányuló bejövő forgalmat adott URL-címek, portok és protokollok számára.

Olyan környezetben, ahol egy hagyományos proxykiszolgálóra vagy tűzfalra irányuló transzparens proxy-kimenő kapcsolat védi a megoldást, engedélyeznie kell bizonyos portokat és URL-címeket a bejövő és kimenő kommunikációhoz is. Ezek közé tartoznak az identitásra, a piactérre, a javításra és frissítésre, a regisztrációra és a használati adatokra vonatkozó portok és URL-címek.

Kimenő kommunikáció

Azure Stack csak a transzparens proxykiszolgálókat támogatja. Ha egy telepítés egy hagyományos proxykiszolgálóra irányuló transzparens proxy-kimenő kapcsolatot használ, engedélyeznie kell az alábbi táblázatban található portokat és URL-címeket a kimenő kommunikációhoz csatlakoztatott módban való üzembe helyezéskor.

Az SSL-forgalom elfogása nem támogatott, és szolgáltatáshibákat okozhat a végpontok elérésekor. Az identitáshoz szükséges végpontokkal való kommunikáció maximális támogatott időkorlátja 60 másodperc.

Megjegyzés

Azure Stack az ExpressRoute nem támogatja az alábbi táblázatban felsorolt Azure-szolgáltatások eléréséhez való használatot, mert előfordulhat, hogy az ExpressRoute nem tudja az összes végpontra átirányíteni a forgalmat.

Cél Cél URL-címe Protokoll Portok Forráshálózat
Identitás Azure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure Government
https://login.microsoftonline.us/
https://graph.windows.net/
Azure China 21Vianet
https://login.chinacloudapi.cn/
https://graph.chinacloudapi.cn/
Azure Germany
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP
HTTPS
80
443
Nyilvános VIP – /27
Nyilvános infrastruktúra hálózata
Marketplace-ről való szindikálás Azure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure Government
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
Azure China 21Vianet
https://management.chinacloudapi.cn/
http://*.blob.core.chinacloudapi.cn
HTTPS 443 Nyilvános VIP – /27
Javítás & frissítése https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 Nyilvános VIP – /27
Regisztráció Azure
https://management.azure.com
Azure Government
https://management.usgovcloudapi.net/
Azure China 21Vianet
https://management.chinacloudapi.cn
HTTPS 443 Nyilvános VIP – /27
Használat Azure
https://*.trafficmanager.net
Azure Government
https://*.usgovtrafficmanager.net
Azure China 21Vianet
https://*.trafficmanager.cn
HTTPS 443 Nyilvános VIP – /27
Windows Defender *.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com
https://www.microsoft.com/pkiops/crl
https://www.microsoft.com/pkiops/certs
https://crl.microsoft.com/pki/crl/products
https://www.microsoft.com/pki/certs
https://secure.aadcdn.microsoftonline-p.com
HTTPS 80
443
Nyilvános VIP – /27
Nyilvános infrastruktúra hálózata
NTP (A telepítéshez megadott NTP-kiszolgáló IP-címe) UDP 123 Nyilvános VIP – /27
DNS (Az üzembe helyezéshez megadott DNS-kiszolgáló IP-címe) TCP
UDP
53 Nyilvános VIP – /27
CRL (A tanúsítvány CRL-terjesztési pontjai alatt található URL-cím) HTTP 80 Nyilvános VIP – /27
LDAP Active Directory-erdő a Graph számára TCP
UDP
389 Nyilvános VIP – /27
LDAP SSL Active Directory-erdő a Graph számára TCP 636 Nyilvános VIP – /27
LDAP GC Active Directory-erdő a Graph számára TCP 3268 Nyilvános VIP – /27
LDAP GC SSL Active Directory-erdő a Graph számára TCP 3269 Nyilvános VIP – /27
AD FS AD FS integrációhoz megadott metaadat-AD FS végpontja TCP 443 Nyilvános VIP – /27
Diagnosztikai naplógyűjtési szolgáltatás Az Azure Storage blob SAS URL-címe HTTPS 443 Nyilvános VIP – /27

Bejövő kommunikáció

A végpontok külső hálózatokon való közzétételéhez infrastruktúra virtuális IP-Azure Stack szükséges. A Végpont (VIP) tábla az egyes végpontokat, a szükséges portokat és protokollokat jeleníti meg. A további erőforrás-szolgáltatókat igénylő végpontokkal kapcsolatban tekintse meg az adott erőforrás-szolgáltató telepítési dokumentációját, például a SQL erőforrás-szolgáltatót.

A belső infrastruktúra VIP-i nem listában szerepelnek, mert nem szükségesek a hálózati Azure Stack. A felhasználói VIP-eket maguk a felhasználók határozzák meg dinamikusan, és a Azure Stack nem vezérelhetik

Megjegyzés

Az IKEv2 VPN egy szabványalapú IPsec VPN-megoldás, amely az 500-as és 4500-as UDP-portot, valamint az 50-es TCP-portot használja. A tűzfalak nem mindig nyitják meg ezeket a portokat, ezért előfordulhat, hogy egy IKEv2 VPN nem tud áthaladni a proxykon és tűzfalakon.

Végpont (VIP) A DNS-állomás A rekordja Protokoll Portok
AD FS Adfs. > régió. < Fqdn > HTTPS 443
Portál (rendszergazda) Rendszergazdaiportál. > régió. < Fqdn > HTTPS 443
Adminhosting *.adminhosting. <>régió. < Fqdn> HTTPS 443
Azure Resource Manager (rendszergazda) Felügyelet. > régió. < Fqdn > HTTPS 443
Portál (felhasználó) Portál. > régió. < Fqdn > HTTPS 443
Azure Resource Manager (felhasználó) Kezelése. > régió. < Fqdn > HTTPS 443
Graph Graph. > régió. < Fqdn > HTTPS 443
Visszavont tanúsítványok listája Crl.> régió. < Fqdn > HTTP 80
DNS *. > régió. < Fqdn > TCP & UDP 53
Üzemeltetés *.hosting. <>régió. < Fqdn> HTTPS 443
Key Vault (felhasználó) *.vault. > régió. < Fqdn > HTTPS 443
Key Vault (rendszergazda) *.adminvault. > régió. < Fqdn > HTTPS 443
Tárolási üzenetsor *.queue. > régió. < Fqdn > HTTP
HTTPS
80
443
Storage Tábla *.table. > régió. < Fqdn > HTTP
HTTPS
80
443
Storage Blob *.blob. > régió. < Fqdn > HTTP
HTTPS
80
443
SQL erőforrás-szolgáltató sqladapter.dbadapter. > régió. < Fqdn > HTTPS 44300-44304
MySQL erőforrás-szolgáltató mysqladapter.dbadapter. > régió. < Fqdn > HTTPS 44300-44304
App Service *.appservice. > régió. < Fqdn > TCP 80 (HTTP)
443 (HTTPS)
8172 (MSDeploy)
*.scm.appservice. > régió. < Fqdn > TCP 443 (HTTPS)
api.appservice. > régió. < Fqdn > TCP 443 (HTTPS)
44300 (Azure Resource Manager)
ftp.appservice. > régió. < Fqdn > TCP, UDP 21, 1021, 10001-10100 (FTP)
990 (FTPS)
VPN-átjárók Lásd: VPN Gateway – gyakori kérdések.