Integrazione di reteNetwork integration

Questo articolo illustra Azure Stack integrazione di rete per il data center modulare di Azure.This article covers Azure Stack network integration for Azure Modular Datacenter.

La pianificazione dell'integrazione di rete è un prerequisito importante per la corretta distribuzione, funzionamento e gestione dei sistemi integrati Azure Stack.Network integration planning is an important prerequisite for successful Azure Stack integrated systems deployment, operation, and management. La pianificazione della connettività del bordo inizia scegliendo se si vuole usare il routing dinamico con il Border Gateway Protocol (BGP) o il routing statico.Border connectivity planning begins by choosing if you want to use dynamic routing with the Border Gateway Protocol (BGP) or static routing. Per il routing dinamico è necessario assegnare un numero di sistema autonomo BGP a 16 bit (pubblico o privato).Dynamic routing requires that you assign a 16-bit BGP autonomous system number (public or private). Il routing statico usa una route predefinita statica assegnata ai dispositivi Border.Static routing uses a static default route that's assigned to the border devices.

I commutatori Edge richiedono uplink di livello 3 con indirizzi IP Point-to-Point (/30 reti) configurati sulle interfacce fisiche.The edge switches require Layer 3 uplinks with point-to-point IPs (/30 networks) configured on the physical interfaces. Uplink di livello 2 con commutatori Edge che supportano Azure Stack operazioni non è supportato.Layer 2 uplinks with edge switches supporting Azure Stack operations isn't supported.

Routing BGPBGP routing

L'uso di un protocollo di routing dinamico come BGP garantisce che il sistema sia sempre a conoscenza delle modifiche apportate alla rete e semplifica l'amministrazione.Using a dynamic routing protocol like BGP guarantees that your system is always aware of network changes and facilitates administration. Per una maggiore sicurezza, è possibile impostare una password sul peering BGP tra il bordo e il bordo.For enhanced security, you can set a password on the BGP peering between the edge and the border.

Come illustrato nel diagramma seguente, l'annuncio dello spazio IP privato nel commutatore Top-of-rack (TOR) viene bloccato usando un elenco di prefissi.As shown in the following diagram, advertising of the private IP space on the top-of-rack (TOR) switch is blocked by using a prefix list. L'elenco di prefisso nega l'annuncio della rete privata e viene applicato come mappa di route sulla connessione tra TOR e Edge.The prefix list denies the advertisement of the private network, and it's applied as a route map on the connection between the TOR and the edge.

Il servizio di bilanciamento del carico software (SLB) eseguito all'interno della soluzione Azure Stack peer ai dispositivi TOR per poter annunciare dinamicamente gli indirizzi VIP.The software load balancer (SLB) running inside the Azure Stack solution peers to the TOR devices so it can dynamically advertise the VIP addresses.

Per garantire il ripristino immediato e trasparente del traffico utente da un errore, il cloud privato virtuale o l'aggregazione di collegamenti multichassis (MLAG) configurata tra i dispositivi TOR consente l'uso di MLAG per gli host e HSRP o VRRP che fornisce ridondanza di rete per le reti IP.To ensure that user traffic immediately and transparently recovers from failure, the virtual private cloud or multi-chassis link aggregation (MLAG) configured between the TOR devices allows the use of MLAG to the hosts and HSRP or VRRP that provides network redundancy for the IP networks.

Routing staticoStatic routing

Il routing statico richiede una configurazione aggiuntiva ai dispositivi Border.Static routing requires additional configuration to the border devices. Richiede un intervento manuale e una gestione più approfondite prima di qualsiasi modifica.It requires more manual intervention and management as well as thorough analysis before any change. Il rollback di problemi causati da un errore di configurazione potrebbe richiedere più tempo a seconda delle modifiche apportate.Issues caused by a configuration error might take more time to roll back depending on the changes made. Questo metodo di routing non è consigliato, ma è supportato.We don't recommend this routing method, but it's supported.

Per integrare Azure Stack nell'ambiente di rete usando il routing statico, è necessario che tutti i quattro collegamenti fisici tra il bordo e il dispositivo perimetrale siano connessi.To integrate Azure Stack into your networking environment by using static routing, all four physical links between the border and the edge device must be connected. Non è possibile garantire la disponibilità elevata a causa del funzionamento del routing statico.High availability can't be guaranteed because of how static routing works.

Il dispositivo Border deve essere configurato con route statiche che puntano a ognuno dei quattro IP Point-to-Point impostati tra il bordo e il bordo per il traffico destinato a qualsiasi rete all'interno Azure Stack.The border device must be configured with static routes pointing to each one of the four point-to-point IPs set between the edge and the border for traffic destined to any network inside Azure Stack. Tuttavia, per l'operazione è necessaria solo la rete VIP esterna o pubblica.But, only the external or public VIP network is required for operation. Per la distribuzione iniziale sono necessarie route statiche al BMC e alle reti esterne.Static routes to the BMC and the external networks are required for initial deployment. Gli operatori possono scegliere di lasciare le route statiche nel bordo per accedere alle risorse di gestione che risiedono nel BMC e nella rete dell'infrastruttura.Operators can choose to leave static routes in the border to access management resources that reside on the BMC and the infrastructure network. L'aggiunta di route statiche per cambiare le reti di gestione di infrastruttura e switch è facoltativa.Adding static routes to switch infrastructure and switch management networks is optional.

I dispositivi TOR sono configurati con una route predefinita statica che invia tutto il traffico ai dispositivi Border.The TOR devices are configured with a static default route sending all traffic to the border devices. L'unica eccezione di traffico alla regola predefinita è per lo spazio privato, che viene bloccato usando un elenco di controllo di accesso applicato alla connessione da TOR a bordo.The one traffic exception to the default rule is for the private space, which is blocked by using an access control list applied on the TOR-to-border connection.

Il routing statico si applica solo ai uplink tra i commutatori Edge e Border.Static routing applies only to the uplinks between the edge and border switches. Il routing dinamico BGP viene usato all'interno del rack perché si tratta di uno strumento essenziale per SLB e altri componenti e non può essere disabilitato o rimosso.BGP dynamic routing is used inside the rack because it's an essential tool for the SLB and other components and can't be disabled or removed.

* La rete BMC è facoltativa dopo la distribuzione.* The BMC network is optional after deployment.

** La rete dell'infrastruttura switch è facoltativa perché la rete intera può essere inclusa nella rete di gestione del Commuter.** The switch infrastructure network is optional because the whole network can be included in the switch management network.

*** La rete di gestione switch è obbligatoria e può essere aggiunta separatamente dalla rete dell'infrastruttura switch.*** The switch management network is required and can be added separately from the switch infrastructure network.

Proxy trasparenteTransparent proxy

Se il Data Center richiede che tutto il traffico usi un proxy, è necessario configurare un proxy trasparente per elaborare tutto il traffico dal rack per gestirlo in base ai criteri.If your datacenter requires all traffic to use a proxy, you must configure a transparent proxy to process all traffic from the rack to handle it according to policy. È necessario separare il traffico tra le zone nella rete.You must separate traffic between the zones on your network.

La soluzione Azure Stack non supporta i normali proxy Web.The Azure Stack solution doesn't support normal web proxies.

Un proxy trasparente (noto anche come intercettore, inline o proxy forzato) intercetta la normale comunicazione a livello di rete senza richiedere alcuna configurazione client speciale.A transparent proxy (also known as an intercepting, inline, or forced proxy) intercepts normal communication at the network layer without requiring any special client configuration. I client non devono essere consapevoli dell'esistenza del proxy.Clients don't need to be aware of the existence of the proxy.

L'intercettazione del traffico SSL non è supportata e può causare errori del servizio durante l'accesso agli endpoint.SSL traffic interception isn't supported and can lead to service failures when accessing endpoints. Il timeout massimo supportato per la comunicazione con gli endpoint necessari per l'identità è di 60 secondi, con tre tentativi.The maximum supported timeout to communicate with endpoints required for identity is 60 seconds with three retry attempts.

DNSDNS

In questa sezione viene illustrata la configurazione di Domain Name System (DNS).This section covers Domain Name System (DNS) configuration.

Configurare l'invio DNS condizionaleConfigure conditional DNS forwarding

Queste linee guida si applicano solo a una distribuzione di Active Directory Federation Services (AD FS).This guidance only applies to an Active Directory Federation Services (AD FS) deployment.

Per abilitare la risoluzione dei nomi con l'infrastruttura DNS esistente, configurare l'invio condizionale.To enable name resolution with your existing DNS infrastructure, configure conditional forwarding.

Per aggiungere un server d'installazione condizionale, è necessario usare l'endpoint con privilegi.To add a conditional forwarder, you must use the privileged endpoint.

Per questa procedura, usare un computer nella rete del Data Center in grado di comunicare con l'endpoint privilegiato in Azure Stack.For this procedure, use a computer in your datacenter network that can communicate with the privileged endpoint in Azure Stack.

  1. Aprire una sessione di Windows PowerShell con privilegi elevati (Esegui come amministratore).Open an elevated Windows PowerShell session (run as administrator). Connettersi all'indirizzo IP dell'endpoint con privilegi.Connect to the IP address of the privileged endpoint. Usare le credenziali per l'autenticazione CloudAdmin.Use the credentials for CloudAdmin authentication.

    \$cred=Get-Credential Enter-PSSession -ComputerName \<IP Address of ERCS\> -ConfigurationName PrivilegedEndpoint -Credential \$cred 
    
  2. Dopo la connessione all'endpoint con privilegi, eseguire il comando di PowerShell seguente.After you connect to the privileged endpoint, run the following PowerShell command. Sostituire i valori di esempio forniti con il nome di dominio e gli indirizzi IP dei server DNS che si desidera utilizzare.Substitute the sample values provided with your domain name and IP addresses of the DNS servers you want to use.

    Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2" 
    

Risolvere Azure Stack nomi DNS dall'esterno Azure StackResolve Azure Stack DNS names from outside Azure Stack

I server autorevoli sono quelli che contengono le informazioni sulla zona DNS esterna e tutte le zone create dall'utente.The authoritative servers are the ones that hold the external DNS zone information and any user-created zones. Eseguire l'integrazione con questi server per abilitare la delega della zona o l'invio condizionale per risolvere Azure Stack nomi DNS dall'esterno del Azure Stack.Integrate with these servers to enable zone delegation or conditional forwarding to resolve Azure Stack DNS names from outside Azure Stack.

Ottenere informazioni sull'endpoint esterno del server DNSGet DNS Server external endpoint information

Per integrare la distribuzione di Azure Stack con l'infrastruttura DNS, sono necessarie le informazioni seguenti:To integrate your Azure Stack deployment with your DNS infrastructure, you need the following information:

  • Nomi di dominio completi del server DNS (FQDN)DNS server fully qualified domain names (FQDNs)
  • Indirizzi IP del server DNSDNS server IP addresses

I nomi di dominio completi per i server DNS Azure Stack hanno il formato seguente:The FQDNs for the Azure Stack DNS servers have the following format:

  • <NAMINGPREFIX>-ns01. <REGION> .<EXTERNALDOMAINNAME><NAMINGPREFIX>-ns01.<REGION>.<EXTERNALDOMAINNAME>
  • <NAMINGPREFIX>-ns02. <REGION> .<EXTERNALDOMAINNAME><NAMINGPREFIX>-ns02.<REGION>.<EXTERNALDOMAINNAME>

Utilizzando i valori di esempio, i nomi di dominio completi per i server DNS sono:Using the sample values, the FQDNs for the DNS servers are:

  • azs-ns01.east.cloud.fabrikam.comazs-ns01.east.cloud.fabrikam.com
  • azs-ns02.east.cloud.fabrikam.comazs-ns02.east.cloud.fabrikam.com

Queste informazioni sono disponibili nel portale di amministrazione, ma sono state create anche alla fine di tutte le distribuzioni di Azure Stack in un file denominato AzureStackStampInformation.jssu.This information is available in the admin portal but also created at the end of all Azure Stack deployments in a file named AzureStackStampInformation.json. Questo file si trova nella cartella C: \ CloudDeployment \ logs della macchina virtuale di distribuzione.This file is located in the C:\CloudDeployment\logs folder of the deployment virtual machine. Se non si è certi di quali valori sono stati usati per la distribuzione di Azure Stack, è possibile ottenere i valori da qui.If you're not sure what values were used for your Azure Stack deployment, you can get the values from here.

Se la macchina virtuale di distribuzione non è più disponibile o non è accessibile, è possibile ottenere i valori connettendosi all'endpoint con privilegi ed eseguendo il cmdlet Get-AzureStackStampInformation di PowerShell.If the deployment virtual machine is no longer available or is inaccessible, you can obtain the values by connecting to the privileged endpoint and running the Get-AzureStackStampInformation PowerShell cmdlet. Per altre informazioni, vedere endpoint con privilegi.For more information, see privileged endpoint.

Configurare l'invio condizionale per Azure StackSet up conditional forwarding to Azure Stack

Il modo più semplice e sicuro per integrare Azure Stack con l'infrastruttura DNS consiste nell'eseguire l'invio condizionale della zona dal server che ospita la zona padre.The simplest and most secure way to integrate Azure Stack with your DNS infrastructure is to do conditional forwarding of the zone from the server that hosts the parent zone. Questo approccio è consigliato se si ha il controllo diretto sui server DNS che ospitano la zona padre per lo spazio dei nomi DNS esterno Azure Stack.We recommend this approach if you have direct control over the DNS servers that host the parent zone for your Azure Stack external DNS namespace.

Se non si ha familiarità con le modalità di esecuzione dell'invio condizionale con DNS, vedere l'articolo TechNet "assegnare un server d'istruzione condizionale per un nome di dominio" o la documentazione specifica per la soluzione DNS.If you're not familiar with how to do conditional forwarding with DNS, see the TechNet article "Assign a Conditional Forwarder for a Domain Name" or the documentation specific to your DNS solution.

Negli scenari in cui è stata specificata la zona DNS Azure Stack esterna per apparire come un dominio figlio del nome di dominio aziendale, non è possibile usare l'invio condizionale.In scenarios where you specified your external Azure Stack DNS zone to look like a child domain of your corporate domain name, conditional forwarding can't be used. È necessario configurare la delega DNS.DNS delegation must be configured.

Esempio:Example:

  • Nome di dominio DNS aziendale: contoso.comCorporate DNS domain name: contoso.com
  • Azure Stack nome di dominio DNS esterno: azurestack.contoso.comAzure Stack external DNS domain name: azurestack.contoso.com

Modificare gli indirizzi IP del server di trasmissione DNSEdit DNS forwarder IPs

Durante la distribuzione di Azure Stack vengono impostati indirizzi IP del server di trasmissione DNS.DNS forwarder IPs are set during deployment of Azure Stack. Se per qualsiasi motivo è necessario aggiornare gli indirizzi IP del server d'esecuzione, è possibile modificare i valori connettendosi all'endpoint con privilegi ed eseguendo i cmdlet di PowerShell Get-AzSDnsForwarder e set-AzSDnsForwarder [[-IPAddress] <IPAddress[]> ] .If the forwarder IPs need to be updated for any reason, you can edit the values by connecting to the privileged endpoint and running the Get-AzSDnsForwarder and Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>] PowerShell cmdlets. Per altre informazioni, vedere endpoint con privilegi.For more information, see privileged endpoint.

Delegare la zona DNS esterna a Azure StackDelegate the external DNS zone to Azure Stack

Per poter risolvere i nomi DNS dall'esterno di una distribuzione di Azure Stack, è necessario configurare la delega DNS.For DNS names to be resolvable from outside an Azure Stack deployment, you need to set up DNS delegation.

Ogni registrar prevede i propri strumenti di gestione DNS per modificare i record del server dei nomi per un dominio.Each registrar has their own DNS management tools to change the name server records for a domain. Nella pagina di gestione DNS del registrar, modificare i record NS e sostituire i record NS per la zona con quelli in Azure Stack.In the registrar's DNS management page, edit the NS records and replace the NS records for the zone with the ones in Azure Stack.

Per la maggior parte dei registrar DNS è necessario fornire almeno due server DNS per completare la delega.Most DNS registrars require you to provide a minimum of two DNS servers to complete the delegation.

FirewallFirewall

Azure Stack configura gli indirizzi IP virtuali (VIP) per i ruoli di infrastruttura.Azure Stack sets up virtual IP addresses (VIPs) for its infrastructure roles. Questi indirizzi VIP vengono allocati dal pool di indirizzi IP pubblici.These VIPs are allocated from the public IP address pool. Ogni indirizzo VIP è protetto con un elenco di controllo di accesso (ACL) nel livello di rete definito dal software.Each VIP is secured with an access control list (ACL) in the software-defined network layer. Gli ACL vengono usati anche tra i commutatori fisici (tori e BMC) per rafforzare ulteriormente la soluzione.ACLs are also used across the physical switches (TORs and BMC) to further harden the solution. Viene creata una voce DNS per ogni endpoint nella zona DNS esterna specificata al momento della distribuzione.A DNS entry is created for each endpoint in the external DNS zone that's specified at deployment time. Ad esempio, al portale per gli utenti viene assegnata la voce host DNS del portale. <region>.<fqdn>.For example, the user portal is assigned the DNS host entry of portal.<region>.<fqdn>.

Il diagramma dell'architettura seguente mostra i diversi livelli di rete e ACL.The following architectural diagram shows the different network layers and ACLs.

Il diagramma dell'architettura Mostra i diversi livelli di rete e ACL.

Porte e URLPorts and URLs

Per rendere i servizi Azure Stack come portali, Azure Resource Manager e DNS disponibili per le reti esterne, è necessario consentire il traffico in ingresso a questi endpoint per URL, porte e protocolli specifici.To make Azure Stack services like portals, Azure Resource Manager, and DNS available to external networks, you must allow inbound traffic to these endpoints for specific URLs, ports, and protocols.

In una distribuzione in cui un proxy trasparente si collega a un server proxy tradizionale o a un firewall protegge la soluzione, è necessario consentire porte e URL specifici per le comunicazioni in ingresso e in uscita.In a deployment where a transparent proxy uplinks to a traditional proxy server or a firewall is protecting the solution, you must allow specific ports and URLs for both inbound and outbound communication. Gli esempi includono porte e URL per identità, Azure Stack Marketplace Hub, patch e aggiornamento, registrazione e dati di utilizzo.Examples include ports and URLs for identity, Azure Stack Hub Marketplace, patch and update, registration, and usage data.

Comunicazione in uscitaOutbound communication

Azure Stack supporta solo server proxy trasparenti.Azure Stack supports only transparent proxy servers. In una distribuzione con proxy trasparente uplink a un server proxy tradizionale, è necessario consentire le porte e gli URL nella tabella seguente per le comunicazioni in uscita quando si esegue la distribuzione in modalità connessa.In a deployment with a transparent proxy uplink to a traditional proxy server, you must allow the ports and URLs in the following table for outbound communication when you deploy in connected mode.

L'intercettazione del traffico SSL non è supportata e può causare errori del servizio durante l'accesso agli endpoint.SSL traffic interception isn't supported and can lead to service failures when accessing endpoints. Il timeout massimo supportato per la comunicazione con gli endpoint necessari per l'identità è pari a 60 secondi.The maximum supported timeout to communicate with endpoints required for identity is 60 seconds.

Nota

Azure Stack non supporta l'uso di Azure ExpressRoute per raggiungere i servizi di Azure elencati nella tabella seguente perché ExpressRoute potrebbe non essere in grado di instradare il traffico a tutti gli endpoint.Azure Stack doesn't support using Azure ExpressRoute to reach the Azure services listed in the following table because ExpressRoute might not be able to route traffic to all of the endpoints.

ScopoPurpose URL di destinazioneDestination URL ProtocolloProtocol PortePorts Rete di origineSource network
IdentitàIdentity AzureAzure
login.windows.netlogin.windows.net
login.microsoftonline.comlogin.microsoftonline.com
graph.windows.netgraph.windows.net
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
www.office.comwww.office.com
ManagementServiceUri = https: / /Management.Core.Windows.NETManagementServiceUri = https://management.core.windows.net
ARMUri = https: / /Management.Azure.comARMUri = https://management.azure.com
https: / / * . msftauth.NEThttps://*.msftauth.net
https: / / * . msauth.NEThttps://*.msauth.net
https: / / * . msocdn.comhttps://*.msocdn.com
Azure per enti pubbliciAzure Government
https: / /login.microsoftonline.US/https://login.microsoftonline.us/
https: / /Graph.Windows.NET/https://graph.windows.net/
Azure Cina (21Vianet)Azure China 21Vianet
https: / /login.chinacloudapi.cn/https://login.chinacloudapi.cn/
https: / /Graph.chinacloudapi.cn/https://graph.chinacloudapi.cn/
Azure GermaniaAzure Germany
https: / /login.microsoftonline.de/https://login.microsoftonline.de/
https: / /Graph.cloudapi.de/https://graph.cloudapi.de/
HTTPHTTP
HTTPSHTTPS
8080
443443
VIP pubblico-/27Public VIP - /27
Rete dell'infrastruttura pubblicaPublic infrastructure network
Diffusione del Marketplace Azure Stack HubAzure Stack Hub Marketplace syndication AzureAzure
https://management.azure.comhttps://management.azure.com
https://*. blob.core.windows.nethttps://*.blob.core.windows.net
https://*. azureedge.nethttps://*.azureedge.net
Azure per enti pubbliciAzure Government
https: / /Management.usgovcloudapi.NET/https://management.usgovcloudapi.net/
https://*. blob.core.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/
Azure Cina (21Vianet)Azure China 21Vianet
https: / /Management.chinacloudapi.cn/https://management.chinacloudapi.cn/
http://*. blob.core.chinacloudapi.cnhttp://*.blob.core.chinacloudapi.cn
HTTPSHTTPS 443443 VIP pubblico-/27Public VIP - /27
Applicazione di patch e aggiornamentiPatch and update https://*. azureedge.nethttps://*.azureedge.net
https: / /aka.ms/azurestackautomaticupdatehttps://aka.ms/azurestackautomaticupdate
HTTPSHTTPS 443443 VIP pubblico-/27Public VIP - /27
RegistrazioneRegistration AzureAzure
https://management.azure.comhttps://management.azure.com
Azure per enti pubbliciAzure Government
https: / /Management.usgovcloudapi.NET/https://management.usgovcloudapi.net/
Azure Cina (21Vianet)Azure China 21Vianet
https: / /Management.chinacloudapi.cnhttps://management.chinacloudapi.cn
HTTPSHTTPS 443443 VIP pubblico-/27Public VIP - /27
UtilizzoUsage AzureAzure
https://*. trafficmanager.nethttps://*.trafficmanager.net
Azure per enti pubbliciAzure Government
https://*. usgovtrafficmanager.nethttps://*.usgovtrafficmanager.net
Azure Cina (21Vianet)Azure China 21Vianet
https://*. trafficmanager.cnhttps://*.trafficmanager.cn
HTTPSHTTPS 443443 VIP pubblico-/27Public VIP - /27
Windows DefenderWindows Defender *. wdcp.microsoft.com*.wdcp.microsoft.com
*. wdcpalt.microsoft.com*.wdcpalt.microsoft.com
*. wd.microsoft.com*.wd.microsoft.com
*. update.microsoft.com*.update.microsoft.com
*. download.microsoft.com*.download.microsoft.com
https: / /www.Microsoft.com/pkiops/CRLhttps://www.microsoft.com/pkiops/crl
https: / /www.Microsoft.com/pkiops/certshttps://www.microsoft.com/pkiops/certs
https: / /CRL.Microsoft.com/PKI/CRL/Productshttps://crl.microsoft.com/pki/crl/products
https: / /www.Microsoft.com/PKI/certshttps://www.microsoft.com/pki/certs
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
HTTPSHTTPS 8080
443443
VIP pubblico-/27Public VIP - /27
Rete dell'infrastruttura pubblicaPublic infrastructure network
NTPNTP IP del server NTP fornito per la distribuzioneIP of NTP server provided for deployment UDPUDP 123123 VIP pubblico-/27Public VIP - /27
DNSDNS IP del server DNS fornito per la distribuzioneIP of DNS server provided for deployment TCPTCP
UDPUDP
5353 VIP pubblico-/27Public VIP - /27
CRLCRL URL nei punti di distribuzione CRL nel certificatoURL under CRL Distribution Points on your certificate HTTPHTTP 8080 VIP pubblico-/27Public VIP - /27
LDAPLDAP Foresta Active Directory fornita per l'integrazione di Graph di AzureActive Directory forest provided for Azure Graph integration TCPTCP
UDPUDP
389389 VIP pubblico-/27Public VIP - /27
LDAP SSLLDAP SSL Foresta Active Directory fornita per l'integrazione con GraphActive Directory forest provided for Graph integration TCPTCP 636636 VIP pubblico-/27Public VIP - /27
GC LDAPLDAP GC Foresta Active Directory fornita per l'integrazione con GraphActive Directory forest provided for Graph integration TCPTCP 32683268 VIP pubblico-/27Public VIP - /27
SSL GC GCLDAP GC SSL Foresta Active Directory fornita per l'integrazione con GraphActive Directory forest provided for Graph integration TCPTCP 32693269 VIP pubblico-/27Public VIP - /27
AD FSAD FS AD FS endpoint dei metadati fornito per l'integrazione AD FSAD FS metadata endpoint provided for AD FS integration TCPTCP 443443 VIP pubblico-/27Public VIP - /27
Servizio raccolta log di diagnosticaDiagnostic log collection service Archiviazione BLOB di Azure-URL di firma di accesso condiviso fornitoAzure Blob Storage-provided shared access signature URL HTTPSHTTPS 443443 VIP pubblico-/27Public VIP - /27

Comunicazione in ingressoInbound communication

Un set di indirizzi VIP di infrastruttura è necessario per la pubblicazione di endpoint Azure Stack su reti esterne.A set of infrastructure VIPs is required for publishing Azure Stack endpoints to external networks. La tabella endpoint (VIP) Mostra ogni endpoint, la porta e il protocollo richiesti.The Endpoint (VIP) table shows each endpoint, the required port, and protocol. Per gli endpoint che richiedono provider di risorse aggiuntivi, ad esempio il provider di risorse SQL, vedere la documentazione relativa alla distribuzione del provider di risorse specifico.For endpoints that require additional resource providers, like the SQL resource provider, see the specific resource provider deployment documentation.

Gli indirizzi VIP dell'infrastruttura interna non sono elencati perché non sono necessari per la pubblicazione Azure Stack.Internal infrastructure VIPs aren't listed because they're not required for publishing Azure Stack. Gli indirizzi VIP utente sono dinamici e definiti dagli utenti stessi, senza alcun controllo da parte dell'operatore Azure Stack.User VIPs are dynamic and defined by the users themselves, with no control by the Azure Stack operator.

Nota

La VPN IKEv2 è una soluzione VPN IPsec basata su standard che usa la porta UDP 500 e 4500 e la porta TCP 50.IKEv2 VPN is a standards-based IPsec VPN solution that uses UDP port 500 and 4500 and TCP port 50. I firewall non sempre aprono queste porte, quindi una VPN IKEv2 potrebbe non essere in grado di attraversare proxy e firewall.Firewalls don't always open these ports, so an IKEv2 VPN might not be able to traverse proxies and firewalls.

Endpoint (VIP)Endpoint (VIP) Record A host DNSDNS host A record ProtocolloProtocol PortePorts
AD FSAD FS ADFS. < area>. < FQDN>Adfs.<region>.<fqdn> HTTPSHTTPS 443443
Portale di Azure (amministratore)Azure portal (administrator) Adminportal. < area>. < FQDN>Adminportal.<region>.<fqdn> HTTPSHTTPS 443443
AdminhostingAdminhosting * <region> . adminhosting.<fqdn>*.adminhosting.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (amministratore)Azure Resource Manager (administrator) Adminmanagement. < area>. < FQDN>Adminmanagement.<region>.<fqdn> HTTPSHTTPS 443443
Portale di Azure (utente)Azure portal (user) Portale. < area>. < FQDN>Portal.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (utente)Azure Resource Manager (user) Gestione. < area>. < FQDN>Management.<region>.<fqdn> HTTPSHTTPS 443443
Grafico di AzureAzure Graph Grafico. < area>. < FQDN>Graph.<region>.<fqdn> HTTPSHTTPS 443443
Elenco di revoche di certificatiCertificate revocation list > CRL.< Region. < FQDN>Crl.<region>.<fqdn> HTTPHTTP 8080
DNSDNS *. < area>. < FQDN>*.<region>.<fqdn> TCP & UDPTCP & UDP 5353
HostingHosting *. Hosting. <region> .<fqdn>*.hosting.<region>.<fqdn> HTTPSHTTPS 443443
Azure Key Vault (utente)Azure Key Vault (user) *. Vault. < area>. < FQDN>*.vault.<region>.<fqdn> HTTPSHTTPS 443443
Azure Key Vault (amministratore)Azure Key Vault (administrator) *. adminvault. < area>. < FQDN>*.adminvault.<region>.<fqdn> HTTPSHTTPS 443443
Archiviazione code di AzureAzure Queue Storage *. Queue. < area>. < FQDN>*.queue.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Archiviazione tabelle di AzureAzure Table Storage *. Table. < area>. < FQDN>*.table.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Archiviazione BLOB di AzureAzure Blob Storage *. blob. < area>. < FQDN>*.blob.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Provider di risorse SQLSQL Resource Provider SqlAdapter. dbadapter. < area>. < FQDN>sqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
Provider di risorse MySQLMySQL Resource Provider mysqladapter.dbadapter. < area>. < FQDN>mysqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
Servizio app di AzureAzure App Service *. Appservice. < area>. < FQDN>*.appservice.<region>.<fqdn> TCPTCP 80 (HTTP)80 (HTTP)
443 (HTTPS)443 (HTTPS)
8172 (MSDeploy)8172 (MSDeploy)
*. SCM. Appservice. < area>. < FQDN>*.scm.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
API. Appservice. < area>. < FQDN>api.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
44300 (Azure Resource Manager)44300 (Azure Resource Manager)
FTP. Appservice. < area>. < FQDN>ftp.appservice.<region>.<fqdn> TCP, UDPTCP, UDP 21, 1021, 10001-10100 (FTP)21, 1021, 10001-10100 (FTP)
990 (FTPS)990 (FTPS)
Gateway VPN di AzureAzure VPN Gateway Vedere le domande frequenti sul gateway VPNSee the VPN Gateway FAQ