Terbitkan layanan Azure Stack Hub di pusat data Anda

Azure Stack Hub menyiapkan alamat IP virtual (VIP) untuk peran infrastrukturnya. VIP ini dialokasikan dari kumpulan alamat IP publik. Setiap VIP diamankan dengan daftar kontrol akses (ACL) di lapisan jaringan yang ditentukan perangkat lunak. ACL juga digunakan di seluruh sakelar fisik (TOR dan BMC) untuk lebih memperkuat solusi. Entri DNS dibuat untuk setiap titik akhir di zona DNS eksternal yang ditentukan pada saat penyebaran. Misalnya, portal pengguna diberi entri host DNS portal.<region>.<fqdn>.

Diagram arsitektural berikut menunjukkan lapisan jaringan dan ACL yang berbeda:

Diagram showing different network layers and ACLs

Port dan URL

Untuk membuat layanan Azure Stack Hub (seperti portal, Azure Resource Manager, DNS, dan sebagainya) tersedia untuk jaringan eksternal, Anda harus mengizinkan lalu lintas masuk ke titik akhir ini untuk URL, port, dan protokol tertentu.

Dalam penyebaran tempat proksi transparan terhubung ke server proksi tradisional atau firewall melindungi solusi, Anda harus mengizinkan port dan URL tertentu untuk komunikasimasuk dan keluar. Termasuk port dan URL untuk identitas, marketplace, patch dan pembaruan, pendaftaran, dan data penggunaan.

Intersepsi lalu lintas SSL tidak didukung dan dapat menyebabkan kegagalan layanan saat mengakses titik akhir.

Port dan protokol (masuk)

Satu set VIP infrastruktur diperlukan untuk menerbitkan titik akhir Azure Stack Hub ke jaringan eksternal. Tabel Titik akhir (VIP) menampilkan setiap titik akhir, port yang diperlukan, dan protokol. Lihat dokumentasi penyebaran penyedia sumber tertentu untuk titik akhir yang memerlukan penyedia sumber tambahan, seperti penyedia sumber SQL.

VIP infrastruktur internal tidak tercantum karena tidak diperlukan untuk menerbitkan Azure Stack Hub. VIP pengguna bersifat dinamis dan ditentukan oleh pengguna itu sendiri, tanpa kontrol oleh operator Azure Stack Hub.

Dengan tambahan Host Ekstensi, ports dalam rentang 12495-30015 tidak diperlukan.

Titik akhir (VIP) Rekaman DNS host A Protokol Port
Layanan Federasi Direktori Aktif Adfs.<region>.<fqdn> HTTPS 443
Portal (administrator) Adminportal.<region>.<fqdn> HTTPS 443
Adminhosting *.adminhosting.<region>.<fqdn> HTTPS 443
Azure Resource Manager (administrator) Adminmanagement.<region>.<fqdn> HTTPS 443
Portal (pengguna) Portal.<region>.<fqdn> HTTPS 443
Azure Resource Manager (pengguna) Management.<region>.<fqdn> HTTPS 443
Graph Graph.<region>.<fqdn> HTTPS 443
Daftar pencabutan sertifikat Crl.<region>.<fqdn> HTTP 80
DNS *.<region>.<fqdn> TCP & UDP 53
Hosting *.hosting.<region>.<fqdn> HTTPS 443
Key Vault (pengguna) *.vault.<region>.<fqdn> HTTPS 443
Key Vault (administrator) *.adminvault.<region>.<fqdn> HTTPS 443
Antrean Penyimpanan *.queue.<region>.<fqdn> HTTP
HTTPS
80
443
Tabel Storage *.table.<region>.<fqdn> HTTP
HTTPS
80
443
Blob Storage *.blob.<region>.<fqdn> HTTP
HTTPS
80
443
Penyedia Sumber SQL sqladapter.dbadapter.<region>.<fqdn> HTTPS 44300-44304
Penyedia Sumber MySQL mysqladapter.dbadapter.<region>.<fqdn> HTTPS 44300-44304
App Service *.appservice.region>.<fqdn> TCP 80 (HTTP)
443 (HTTPS)
8172 (MSDeploy)
*.scm.appservice.region>.<fqdn> TCP 443 (HTTPS)
api.appservice.region>.<fqdn> TCP 443 (HTTPS)
44300 (Azure Resource Manager)
ftp.appservice.region>.<fqdn> TCP, UDP 21, 1021, 10001-10100 (FTP)
990 (FTPS)
VPN Gateway Protokol IP 50 & UDP Encapsulation Security Payload (ESP) IPSec & UDP 500 dan 4500

Port dan URL (keluar)

Azure Stack Hub hanya mendukung server proksi transparan. Dalam penyebaran dengan uplink proksi transparan ke server proksi tradisional, Anda harus mengizinkan port dan URL dalam tabel berikut untuk komunikasi keluar. Untuk informasi selengkapnya tentang mengonfigurasi server proksi transparan, lihat Proksi transparan untuk Azure Stack Hub.

Intersepsi lalu lintas SSL tidak didukung dan dapat menyebabkan kegagalan layanan saat mengakses titik akhir. Batas waktu maksimum yang didukung untuk berkomunikasi dengan titik akhir yang diperlukan untuk identitas adalah 60 detik.

Catatan

Azure Stack Hub tidak mendukung penggunaan ExpressRoute untuk menjangkau layanan Azure yang tercantum dalam tabel berikut karena ExpressRoute mungkin tidak dapat merutekan lalu lintas ke semua titik akhir.

Tujuan URL Tujuan Protokol / Port Jaringan Sumber Persyaratan
Identitas
Memungkinkan Azure Stack Hub terhubung ke Azure Active Directory untuk autentikasi & Layanan Pengguna.
Azure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure Government
https://login.microsoftonline.us/
https://graph.windows.net/
Azure China 21Vianet
https://login.chinacloudapi.cn/
https://graph.chinacloudapi.cn/
Azure Germany
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP 80,
HTTPS 443
VIP Publik - /27
Jaringan Infrastruktur Publik
Wajib untuk penyebaran yang tersambung.
Sindikasi marketplace
Memungkinkan Anda mengunduh item ke Azure Stack Hub dari Marketplace dan membuatnya tersedia untuk semua pengguna menggunakan lingkungan Azure Stack Hub.
Azure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure Government
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
Azure China 21Vianet
https://management.chinacloudapi.cn/
http://*.blob.core.chinacloudapi.cn
HTTPS 443 VIP Publik - /27 Tidak dibutuhkan. Gunakan instruksi skenario terputus untuk mengunggah gambar ke Azure Stack Hub.
Patch & Pembaruan
Ketika tersambung ke titik akhir pembaruan, pembaruan perangkat lunak Azure Stack Hub dan perbaikan ditampilkan dengan status tersedia untuk diunduh.
https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 VIP Publik - /27 Tidak dibutuhkan. Gunakan instruksi koneksi penyebaran terputus untuk mengunduh dan menyiapkan pembaruan secara manual.
Pendaftaran
Memungkinkan Anda mendaftarkan Azure Stack Hub dengan Azure untuk mengunduh item Azure Marketplace dan mengatur pelaporan data perdagangan kembali ke Microsoft.
Azure
https://management.azure.com
Azure Government
https://management.usgovcloudapi.net/
Azure China 21Vianet
https://management.chinacloudapi.cn
HTTPS 443 VIP Publik - /27 Tidak dibutuhkan. Anda dapat menggunakan skenario terputus untuk pendaftaran offline.
Penggunaan
Memungkinkan operator Azure Stack Hub mengonfigurasi instans Azure Stack Hub mereka untuk melaporkan data penggunaan ke Azure.
Azure
https://*.trafficmanager.net
https://*.cloudapp.azure.com
Azure Government
https://*.usgovtrafficmanager.net
https://*.cloudapp.usgovcloudapi.net
Azure China 21Vianet
https://*.trafficmanager.cn
https://*.cloudapp.chinacloudapi.cn
HTTPS 443 VIP Publik - /27 Diperlukan untuk model lisensi berbasis konsumsi Azure Stack Hub.
Pertahanan Windows
Memungkinkan penyedia sumber pembaruan untuk mengunduh definisi antimalware dan pembaruan mesin beberapa kali per hari.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.com
HTTPS 80, 443 VIP Publik - /27
Jaringan Infrastruktur Publik
Tidak dibutuhkan. Anda dapat menggunakan skenario terputus untuk memperbarui file tanda tangan antivirus.
NTP
Memungkinkan Azure Stack Hub tersambung ke server waktu.
(IP server NTP disediakan untuk penyebaran) UDP 123 VIP Publik - /27 Diperlukan
DNS
Memungkinkan Azure Stack Hub tersambung ke penerus server DNS.
(IP server DNS disediakan untuk penyebaran) TCP & UDP 53 VIP Publik - /27 Diperlukan
SYSLOG
Memungkinkan Azure Stack Hub mengirim pesan syslog untuk tujuan pemantauan atau keamanan.
(IP server SYSLOG disediakan untuk penyebaran) TCP 6514,
UDP 514
VIP Publik - /27 Opsional
CRL
Memungkinkan Azure Stack Hub memvalidasi sertifikat dan memeriksa sertifikat yang dicabut.
URL di bawah Titik Distribusi CRL pada sertifikat Anda HTTP 80 VIP Publik - /27 Diperlukan
CRL
Memungkinkan Azure Stack Hub memvalidasi sertifikat dan memeriksa sertifikat yang dicabut.
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTP 80 VIP Publik - /27 Tidak dibutuhkan. Praktik terbaik keamanan yang sangat direkomendasikan.
LDAP
Memungkinkan Azure Stack Hub untuk berkomunikasi dengan Microsoft Active Directory lokal.
Active Directory Forest disediakan untuk integrasi Graph TCP & UDP 389 VIP Publik - /27 Diperlukan saat Azure Stack Hub disebarkan menggunakan Active Directory Federation Services.
LDAP SSL
Memungkinkan Azure Stack Hub berkomunikasi terenkripsi dengan Microsoft Active Directory lokal.
Active Directory Forest disediakan untuk integrasi Graph TCP 636 VIP Publik - /27 Diperlukan saat Azure Stack Hub disebarkan menggunakan Active Directory Federation Services.
LDAP GC
Memungkinkan Azure Stack Hub berkomunikasi dengan Microsoft Active Global Catalog Servers.
Active Directory Forest disediakan untuk integrasi Graph TCP 3268 VIP Publik - /27 Diperlukan saat Azure Stack Hub disebarkan menggunakan Active Directory Federation Services.
LDAP GC SSL
Memungkinkan Azure Stack Hub berkomunikasi terenkripsi dengan Microsoft Active Directory Global Catalog Servers.
Active Directory Forest disediakan untuk integrasi Graph TCP 3269 VIP Publik - /27 Diperlukan saat Azure Stack Hub disebarkan menggunakan Active Directory Federation Services.
AD FS
Memungkinkan Azure Stack Hub berkomunikasi dengan Active Directory Federation Services lokal.
Titik akhir metadata Active Directory Federation Services disediakan untuk integrasi Active Directory Federation Services Protokol Kendali Transmisi 443 VIP Publik - /27 Opsional. Kepercayaan penyedia klaim Active Directory Federation Services dapat dibuat menggunakan file metadata.
Pengumpulan log diagnostik
Memungkinkan Azure Stack Hub mengirim log baik secara proaktif maupun manual oleh operator ke dukungan Microsoft.
https://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPS 443 VIP Publik - /27 Tidak dibutuhkan. Anda dapat menyimpan log secara lokal.
Dukungan jarak jauh
Memungkinkan profesional dukungan Microsoft untuk memecahkan kasus dukungan lebih cepat dengan mengizinkan akses ke perangkat dari jarak jauh untuk melakukan operasi pemecahan masalah terbatas dan perbaikan.
https://edgesupprd.trafficmanager.net
https://edgesupprdwestusfrontend.westus2.cloudapp.azure.com
https://edgesupprdwesteufrontend.westeurope.cloudapp.azure.com
https://edgesupprdeastusfrontend.eastus.cloudapp.azure.com
https://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.com
https://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com
*.servicebus.windows.net
HTTPS 443 VIP Publik - /27 Tidak dibutuhkan.
telemetri
Memungkinkan Azure Stack Hub mengirim data telemetri ke Microsoft.
https://settings-win.data.microsoft.com
https://login.live.com
*.events.data.microsoft.com
Dimulai dengan versi 2108, titik akhir berikut juga diperlukan:
https://*.blob.core.windows.net/
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/
HTTPS 443 VIP Publik - /27 Diperlukan saat telemetri Azure Stack Hub diaktifkan.

URL keluar diseimbangkan dengan menggunakan pengelola lalu lintas Azure untuk menyediakan konektivitas terbaik berdasarkan lokasi geografis. Dengan URL yang muatannya seimbang, Microsoft dapat memperbarui dan mengubah titik akhir backend tanpa memengaruhi pelanggan. Microsoft tidak membagikan daftar alamat IP untuk URL dengan muatan seimbang. Gunakan perangkat yang mendukung pemfilteran berdasarkan URL, bukan berdasarkan IP.

DNS keluar diperlukan setiap saat; yang bervariasi adalah sumber yang mengkueri DNS eksternal dan jenis integrasi identitas yang dipilih. Selama penyebaran untuk skenario yang tersambung, DVM yang berada di jaringan BMC membutuhkan akses keluar. Tetapi setelah penyebaran, layanan DNS pindah ke komponen internal yang akan mengirim kueri melalui VIP Publik. Pada saat itu, akses DNS keluar melalui jaringan BMC dapat dihapus, tetapi akses VIP Publik ke server DNS tersebut harus tetap ada atau autentikasi akan gagal.

Langkah berikutnya

Persyaratan PKI Azure Stack Hub