Pubblicare servizi hub Azure Stack nel Data CenterPublish Azure Stack Hub services in your datacenter

Azure Stack Hub configura gli indirizzi IP virtuali (VIP) per i ruoli di infrastruttura.Azure Stack Hub sets up virtual IP addresses (VIPs) for its infrastructure roles. Questi indirizzi VIP vengono allocati dal pool di indirizzi IP pubblici.These VIPs are allocated from the public IP address pool. Ogni indirizzo VIP è protetto con un elenco di controllo di accesso (ACL) nel livello di rete definito dal software.Each VIP is secured with an access control list (ACL) in the software-defined network layer. Gli ACL vengono usati anche tra i commutatori fisici (tori e BMC) per rafforzare ulteriormente la soluzione.ACLs are also used across the physical switches (TORs and BMC) to further harden the solution. Viene creata una voce DNS per ogni endpoint nella zona DNS esterna specificata al momento della distribuzione.A DNS entry is created for each endpoint in the external DNS zone that's specified at deployment time. Ad esempio, al portale per gli utenti viene assegnata la voce host DNS del portale. < area>. < FQDN>.For example, the user portal is assigned the DNS host entry of portal.<region>.<fqdn>.

Il diagramma dell'architettura seguente mostra i diversi livelli di rete e ACL:The following architectural diagram shows the different network layers and ACLs:

Diagramma che mostra diversi livelli di rete e ACL

Porte e URLPorts and URLs

Per rendere i servizi di hub Azure Stack (ad esempio i portali, Azure Resource Manager, DNS e così via) disponibili per le reti esterne, è necessario consentire il traffico in ingresso a questi endpoint per URL, porte e protocolli specifici.To make Azure Stack Hub services (like the portals, Azure Resource Manager, DNS, and so on) available to external networks, you must allow inbound traffic to these endpoints for specific URLs, ports, and protocols.

In una distribuzione in cui un proxy trasparente si collega a un server proxy tradizionale o a un firewall protegge la soluzione, è necessario consentire porte e URL specifici per le comunicazioni in ingresso e in uscita .In a deployment where a transparent proxy uplinks to a traditional proxy server or a firewall is protecting the solution, you must allow specific ports and URLs for both inbound and outbound communication. Sono incluse le porte e gli URL per l'identità, il Marketplace, la patch e l'aggiornamento, la registrazione e i dati di utilizzo.These include ports and URLs for identity, the marketplace, patch and update, registration, and usage data.

L'intercettazione del traffico SSL non è supportata e può causare errori del servizio durante l'accesso agli endpoint.SSL traffic interception is not supported and can lead to service failures when accessing endpoints.

Porte e protocolli (in ingresso)Ports and protocols (inbound)

Un set di indirizzi VIP di infrastruttura è necessario per la pubblicazione di endpoint dell'hub Azure Stack su reti esterne.A set of infrastructure VIPs is required for publishing Azure Stack Hub endpoints to external networks. La tabella endpoint (VIP) Mostra ogni endpoint, la porta e il protocollo richiesti.The Endpoint (VIP) table shows each endpoint, the required port, and protocol. Per gli endpoint che richiedono provider di risorse aggiuntivi, ad esempio il provider di risorse SQL, vedere la documentazione di distribuzione specifica del provider di risorse.Refer to the specific resource provider deployment documentation for endpoints that require additional resource providers, like the SQL resource provider.

Gli indirizzi VIP dell'infrastruttura interna non sono elencati perché non sono necessari per la pubblicazione di Azure Stack Hub.Internal infrastructure VIPs aren't listed because they're not required for publishing Azure Stack Hub. Gli indirizzi VIP utente sono dinamici e definiti dagli utenti stessi, senza alcun controllo da parte dell'operatore Azure Stack Hub.User VIPs are dynamic and defined by the users themselves, with no control by the Azure Stack Hub operator.

Nota

La VPN IKEv2 è una soluzione VPN IPsec basata su standard che usa la porta UDP 500 e 4500 e la porta TCP 50.IKEv2 VPN is a standards-based IPsec VPN solution that uses UDP port 500 and 4500 and TCP port 50. I firewall non sempre aprono queste porte, quindi una VPN IKEv2 potrebbe non essere in grado di attraversare proxy e firewall.Firewalls don't always open these ports, so an IKEv2 VPN might not be able to traverse proxies and firewalls.

Con l'aggiunta dell' host di estensione, non sono necessarie le porte nell'intervallo 12495-30015.With the addition of the Extension Host, ports in the range of 12495-30015 aren't required.

Endpoint (VIP)Endpoint (VIP) Record A host DNSDNS host A record ProtocolloProtocol PortePorts
AD FSAD FS ADFS. < area>. < FQDN>Adfs.<region>.<fqdn> HTTPSHTTPS 443443
Portale (amministratore)Portal (administrator) Adminportal. < area>. < FQDN>Adminportal.<region>.<fqdn> HTTPSHTTPS 443443
AdminhostingAdminhosting * <region> . adminhosting.<fqdn>*.adminhosting.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (amministratore)Azure Resource Manager (administrator) Adminmanagement. < area>. < FQDN>Adminmanagement.<region>.<fqdn> HTTPSHTTPS 443443
Portale (utente)Portal (user) Portale. < area>. < FQDN>Portal.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (utente)Azure Resource Manager (user) Gestione. < area>. < FQDN>Management.<region>.<fqdn> HTTPSHTTPS 443443
GraficoGraph Grafico. < area>. < FQDN>Graph.<region>.<fqdn> HTTPSHTTPS 443443
Elenco di revoche di certificatiCertificate revocation list > CRL.< Region. < FQDN>Crl.<region>.<fqdn> HTTPHTTP 8080
DNSDNS *. < area>. < FQDN>*.<region>.<fqdn> TCP & UDPTCP & UDP 5353
HostingHosting *. Hosting. <region> .<fqdn>*.hosting.<region>.<fqdn> HTTPSHTTPS 443443
Key Vault (utente)Key Vault (user) *. Vault. < area>. < FQDN>*.vault.<region>.<fqdn> HTTPSHTTPS 443443
Key Vault (amministratore)Key Vault (administrator) *. adminvault. < area>. < FQDN>*.adminvault.<region>.<fqdn> HTTPSHTTPS 443443
Coda di archiviazioneStorage Queue *. Queue. < area>. < FQDN>*.queue.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Tabella di archiviazioneStorage Table *. Table. < area>. < FQDN>*.table.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Archiviazione BLOBStorage Blob *. blob. < area>. < FQDN>*.blob.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Provider di risorse SQLSQL Resource Provider SqlAdapter. dbadapter. < area>. < FQDN>sqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
Provider di risorse MySQLMySQL Resource Provider mysqladapter.dbadapter. < area>. < FQDN>mysqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
Servizio appApp Service *. Appservice. < area>. < FQDN>*.appservice.<region>.<fqdn> TCPTCP 80 (HTTP)80 (HTTP)
443 (HTTPS)443 (HTTPS)
8172 (MSDeploy)8172 (MSDeploy)
*. SCM. Appservice. < area>. < FQDN>*.scm.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
API. Appservice. < area>. < FQDN>api.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
44300 (Azure Resource Manager)44300 (Azure Resource Manager)
FTP. Appservice. < area>. < FQDN>ftp.appservice.<region>.<fqdn> TCP, UDPTCP, UDP 21, 1021, 10001-10100 (FTP)21, 1021, 10001-10100 (FTP)
990 (FTPS)990 (FTPS)
Gateway VPNVPN Gateways Vedere le domande frequenti sul gateway VPN.See the VPN gateway FAQ.

Porte e URL (in uscita)Ports and URLs (outbound)

Azure Stack Hub supporta solo i server proxy trasparenti.Azure Stack Hub supports only transparent proxy servers. In una distribuzione con proxy trasparente uplink a un server proxy tradizionale, è necessario consentire le porte e gli URL nella tabella seguente per le comunicazioni in uscita.In a deployment with a transparent proxy uplink to a traditional proxy server, you must allow the ports and URLs in the following table for outbound communication.

L'intercettazione del traffico SSL non è supportata e può causare errori del servizio durante l'accesso agli endpoint.SSL traffic interception is not supported and can lead to service failures when accessing endpoints. Il timeout massimo supportato per la comunicazione con gli endpoint necessari per l'identità è 60.The maximum supported timeout to communicate with endpoints required for identity is 60s.

Nota

Azure Stack Hub non supporta l'uso di ExpressRoute per raggiungere i servizi di Azure elencati nella tabella seguente perché ExpressRoute potrebbe non essere in grado di instradare il traffico a tutti gli endpoint.Azure Stack Hub doesn't support using ExpressRoute to reach the Azure services listed in the following table because ExpressRoute may not be able to route traffic to all of the endpoints.

ScopoPurpose URL di destinazioneDestination URL ProtocolloProtocol PortePorts Rete di origineSource Network
IdentitàIdentity AzureAzure
login.windows.netlogin.windows.net
login.microsoftonline.comlogin.microsoftonline.com
graph.windows.netgraph.windows.net
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
www.office.comwww.office.com
ManagementServiceUri = https: / /Management.Core.Windows.NETManagementServiceUri = https://management.core.windows.net
ARMUri = https: / /Management.Azure.comARMUri = https://management.azure.com
https: / / * . msftauth.NEThttps://*.msftauth.net
https: / / * . msauth.NEThttps://*.msauth.net
https: / / * . msocdn.comhttps://*.msocdn.com
Azure per enti pubbliciAzure Government
https: / /login.microsoftonline.US/https://login.microsoftonline.us/
https: / /Graph.Windows.NET/https://graph.windows.net/
Azure Cina (21Vianet)Azure China 21Vianet
https: / /login.chinacloudapi.cn/https://login.chinacloudapi.cn/
https: / /Graph.chinacloudapi.cn/https://graph.chinacloudapi.cn/
Azure GermaniaAzure Germany
https: / /login.microsoftonline.de/https://login.microsoftonline.de/
https: / /Graph.cloudapi.de/https://graph.cloudapi.de/
HTTPHTTP
HTTPSHTTPS
8080
443443
VIP pubblico-/27Public VIP - /27
Rete dell'infrastruttura pubblicaPublic infrastructure Network
Diffusione del MarketplaceMarketplace syndication AzureAzure
https://management.azure.comhttps://management.azure.com
https://*. blob.core.windows.nethttps://*.blob.core.windows.net
https://*. azureedge.nethttps://*.azureedge.net
Azure per enti pubbliciAzure Government
https: / /Management.usgovcloudapi.NET/https://management.usgovcloudapi.net/
https://*. blob.core.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/
Azure Cina (21Vianet)Azure China 21Vianet
https: / /Management.chinacloudapi.cn/https://management.chinacloudapi.cn/
http://*. blob.core.chinacloudapi.cnhttp://*.blob.core.chinacloudapi.cn
HTTPSHTTPS 443443 VIP pubblico-/27Public VIP - /27
Patch & aggiornamentoPatch & Update https://*. azureedge.nethttps://*.azureedge.net
https: / /aka.ms/azurestackautomaticupdatehttps://aka.ms/azurestackautomaticupdate
HTTPSHTTPS 443443 VIP pubblico-/27Public VIP - /27
RegistrazioneRegistration AzureAzure
https://management.azure.comhttps://management.azure.com
Azure per enti pubbliciAzure Government
https: / /Management.usgovcloudapi.NET/https://management.usgovcloudapi.net/
Azure Cina (21Vianet)Azure China 21Vianet
https: / /Management.chinacloudapi.cnhttps://management.chinacloudapi.cn
HTTPSHTTPS 443443 VIP pubblico-/27Public VIP - /27
UtilizzoUsage AzureAzure
https://*. trafficmanager.nethttps://*.trafficmanager.net
Azure per enti pubbliciAzure Government
https://*. usgovtrafficmanager.nethttps://*.usgovtrafficmanager.net
Azure Cina (21Vianet)Azure China 21Vianet
https://*. trafficmanager.cnhttps://*.trafficmanager.cn
HTTPSHTTPS 443443 VIP pubblico-/27Public VIP - /27
Windows DefenderWindows Defender *. wdcp.microsoft.com*.wdcp.microsoft.com
*. wdcpalt.microsoft.com*.wdcpalt.microsoft.com
*. wd.microsoft.com*.wd.microsoft.com
*. update.microsoft.com*.update.microsoft.com
*. download.microsoft.com*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
HTTPSHTTPS 8080
443443
VIP pubblico-/27Public VIP - /27
Rete dell'infrastruttura pubblicaPublic infrastructure Network
NTPNTP (IP del server NTP fornito per la distribuzione)(IP of NTP server provided for deployment) UDPUDP 123123 VIP pubblico-/27Public VIP - /27
DNSDNS (IP del server DNS fornito per la distribuzione)(IP of DNS server provided for deployment) TCPTCP
UDPUDP
5353 VIP pubblico-/27Public VIP - /27
SYSLOGSYSLOG (IP del server SYSLOG fornito per la distribuzione)(IP of SYSLOG server provided for deployment) TCPTCP
UDPUDP
65146514
514514
VIP pubblico-/27Public VIP - /27
CRLCRL (URL nei punti di distribuzione CRL nel certificato)(URL under CRL Distribution Points on your certificate)
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTPHTTP 8080 VIP pubblico-/27Public VIP - /27
LDAPLDAP Foresta Active Directory fornita per l'integrazione con GraphActive Directory Forest provided for Graph integration TCPTCP
UDPUDP
389389 VIP pubblico-/27Public VIP - /27
LDAP SSLLDAP SSL Foresta Active Directory fornita per l'integrazione con GraphActive Directory Forest provided for Graph integration TCPTCP 636636 VIP pubblico-/27Public VIP - /27
GC LDAPLDAP GC Foresta Active Directory fornita per l'integrazione con GraphActive Directory Forest provided for Graph integration TCPTCP 32683268 VIP pubblico-/27Public VIP - /27
SSL GC GCLDAP GC SSL Foresta Active Directory fornita per l'integrazione con GraphActive Directory Forest provided for Graph integration TCPTCP 32693269 VIP pubblico-/27Public VIP - /27
AD FSAD FS AD FS endpoint dei metadati fornito per l'integrazione AD FSAD FS metadata endpoint provided for AD FS integration TCPTCP 443443 VIP pubblico-/27Public VIP - /27
Raccolta di log di diagnosticaDiagnostic log collection https://*. blob. Core. Windows. NEThttps://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPSHTTPS 443443 VIP pubblico-/27Public VIP - /27

Gli URL in uscita vengono sottoposte a bilanciamento del carico usando Gestione traffico di Azure per fornire la migliore connettività possibile in base alla posizione geografica.Outbound URLs are load balanced using Azure traffic manager to provide the best possible connectivity based on geographic location. Con gli URL con bilanciamento del carico, Microsoft può aggiornare e modificare gli endpoint back-end senza influire sui clienti.With load balanced URLs, Microsoft can update and change backend endpoints without affecting customers. Microsoft non condivide l'elenco di indirizzi IP per gli URL con bilanciamento del carico.Microsoft doesn't share the list of IP addresses for the load balanced URLs. Usare un dispositivo che supporta il filtraggio in base all'URL anziché all'indirizzo IP.Use a device that supports filtering by URL rather than by IP.

Il DNS in uscita è sempre necessario. ciò che varia è l'origine che esegue una query sul DNS esterno e il tipo di integrazione di identità scelto.Outbound DNS is required at all times; what varies is the source querying the external DNS and what type of identity integration was chosen. Durante la distribuzione per uno scenario connesso, il DVM che risiede nella rete BMC necessita dell'accesso in uscita.During deployment for a connected scenario, the DVM that sits on the BMC network needs outbound access. Tuttavia, dopo la distribuzione, il servizio DNS si sposta in un componente interno che invierà query tramite un indirizzo VIP pubblico.But after deployment, the DNS service moves to an internal component that will send queries through a Public VIP. In quel momento, è possibile rimuovere l'accesso DNS in uscita tramite la rete BMC, ma l'accesso VIP pubblico a tale server DNS deve rimanere invariato oppure l'autenticazione avrà esito negativo.At that time, the outbound DNS access through the BMC network can be removed, but the Public VIP access to that DNS server must remain or else authentication will fail.

Passaggi successiviNext steps

Requisiti PKI dell'hub Azure StackAzure Stack Hub PKI requirements