Pubblicare i servizi dell'hub di Azure Stack nel data center

L'hub di Azure Stack configura gli indirizzi IP virtuali per i ruoli dell'infrastruttura. Questi INDIRIZZI VIP vengono allocati dal pool di indirizzi IP pubblici. Ogni indirizzo VIP è protetto con un elenco di controllo di accesso (ACL) nel livello di rete definito dal software. Gli ACL vengono usati anche tra i commutatori fisici (TOR e BMC) per rafforzare ulteriormente la soluzione. Viene creata una voce DNS per ogni endpoint nell'area DNS esterna specificata in fase di distribuzione. Ad esempio, il portale utente viene assegnato alla voce host DNS del portale. <area>.< fqdn>.

Il diagramma dell'architettura seguente illustra i diversi livelli di rete e gli elenchi di controllo di accesso:

Diagram showing different network layers and ACLs

Porte e URL

Per rendere disponibili i servizi dell'hub di Azure Stack ,ad esempio i portali, Azure Resource Manager, DNS e così via, è necessario consentire il traffico in ingresso a questi endpoint per URL, porte e protocolli specifici.

In una distribuzione in cui un proxy trasparente si collega a un server proxy tradizionale o a un firewall protegge la soluzione, è necessario consentire porte e URL specifici per la comunicazionein ingresso e in uscita. Queste includono porte e URL per identità, marketplace, patch e aggiornamento, registrazione e dati di utilizzo.

L'intercettazione del traffico SSL non è supportata e può causare errori del servizio durante l'accesso agli endpoint.

Porte e protocolli (in ingresso)

Per la pubblicazione degli endpoint dell'hub di Azure Stack in reti esterne è necessario un set di indirizzi IP dell'infrastruttura. La tabella Endpoint (VIP) mostra ogni endpoint, la porta e il protocollo necessari. Vedere la documentazione specifica relativa alla distribuzione del provider di risorse per gli endpoint che richiedono provider di risorse aggiuntivi, ad esempio il provider di risorse SQL.

Gli indirizzi VIP dell'infrastruttura interna non sono elencati perché non sono necessari per la pubblicazione dell'hub di Azure Stack. Gli indirizzi VIP utente sono dinamici e definiti dagli utenti stessi, senza alcun controllo dell'operatore hub di Azure Stack.

Con l'aggiunta dell'host di estensione, le porte nell'intervallo 12495-30015 non sono necessarie.

Endpoint (VIP) Record host DNS A Protocollo Porte
AD FS Adfs. <area>.< Fqdn> HTTPS 443
Portale (amministratore) Amministratore. <area>.< Fqdn> HTTPS 443
Adminhosting *.adminhosting.< area>.< Fqdn> HTTPS 443
Azure Resource Manager (amministratore) Adminmanagement. <area>.< Fqdn> HTTPS 443
Portale (utente) Portale. <area>.< Fqdn> HTTPS 443
Azure Resource Manager (utente) Gestione. <area>.< Fqdn> HTTPS 443
Grafico Graph. <area>.< Fqdn> HTTPS 443
Elenco di revoche di certificati Crl.region<.<> Fqdn> HTTP 80
DNS *. <area>.< Fqdn> TCP & UDP 53
Hosting *.hosting.< area>.< Fqdn> HTTPS 443
Key Vault (utente) *.vault. <area>.< Fqdn> HTTPS 443
Key Vault (amministratore) *.adminvault. <area>.< Fqdn> HTTPS 443
Coda di archiviazione *.queue. <area>.< Fqdn> HTTP
HTTPS
80
443
Tabella di archiviazione *.table. <area>.< Fqdn> HTTP
HTTPS
80
443
Archiviazione BLOB *.BLOB. <area>.< Fqdn> HTTP
HTTPS
80
443
SQL provider di risorse sqladapter.dbadapter. <area>.< Fqdn> HTTPS 44300-44304
Provider di risorse MySQL mysqladapter.dbadapter. <area>.< Fqdn> HTTPS 44300-44304
Servizio app *.appservice. <area> geografica.< Fqdn> TCP 80 (HTTP)
443 (HTTPS)
8172 (MSDeploy)
*.scm.appservice. <area> geografica.< Fqdn> TCP 443 (HTTPS)
api.appservice. <area> geografica.< Fqdn> TCP 443 (HTTPS)
44300 (Azure Resource Manager)
ftp.appservice. <area> geografica.< Fqdn> TCP, UDP 21, 1021, 10001-10100 (FTP)
990 (FTPS)
Gateway VPN PROTOCOLLO IP 50 & UDP Incapsulamento IpSec UDP 500 e 4500 IPSec &

Porte e URL (in uscita)

L'hub di Azure Stack supporta solo server proxy trasparenti. In una distribuzione con un proxy trasparente uplink a un server proxy tradizionale, è necessario consentire le porte e gli URL nella tabella seguente per la comunicazione in uscita. Per altre informazioni sulla configurazione di server proxy trasparenti, vedere Proxy trasparente per l'hub di Azure Stack.

L'intercettazione del traffico SSL non è supportata e può causare errori del servizio durante l'accesso agli endpoint. Il timeout massimo supportato per comunicare con gli endpoint necessari per l'identità è 60s.

Nota

L'hub di Azure Stack non supporta l'uso di ExpressRoute per raggiungere i servizi di Azure elencati nella tabella seguente perché ExpressRoute potrebbe non essere in grado di instradare il traffico a tutti gli endpoint.

Scopo URL di destinazione Protocollo/porte Rete di origine Requisito
Identità
Consente all'hub di Azure Stack di connettersi a Azure Active Directory per l'autenticazione del servizio utente&.
Azure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure per enti pubblici
https://login.microsoftonline.us/
https://graph.windows.net/
Azure Cina (21Vianet)
https://login.chinacloudapi.cn/
https://graph.chinacloudapi.cn/
Azure Germania
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP 80,
HTTPS 443
INDIRIZZO VIP pubblico - /27
Rete infrastruttura pubblica
Obbligatorio per una distribuzione connessa.
Diffusione del Marketplace
Consente di scaricare gli elementi nell'hub di Azure Stack dal Marketplace e di renderli disponibili a tutti gli utenti usando l'ambiente dell'hub di Azure Stack.
Azure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure per enti pubblici
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
Azure Cina (21Vianet)
https://management.chinacloudapi.cn/
http://*.blob.core.chinacloudapi.cn
HTTPS 443 INDIRIZZO VIP pubblico - /27 Non obbligatorio. Usare le istruzioni dello scenario disconnesso per caricare immagini nell'hub di Azure Stack.
Aggiornamento patch &
Quando si è connessi agli endpoint di aggiornamento, gli aggiornamenti software e gli hotfix dell'hub di Azure Stack vengono visualizzati come disponibili per il download.
https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 INDIRIZZO VIP pubblico - /27 Non obbligatorio. Usare le istruzioni di connessione alla distribuzione disconnesse per scaricare e preparare manualmente l'aggiornamento.
Registrazione
Consente di registrare l'hub di Azure Stack con Azure per scaricare Azure Marketplace elementi e configurare la creazione di report dei dati commerciali in Microsoft.
Azure
https://management.azure.com
Azure per enti pubblici
https://management.usgovcloudapi.net/
Azure Cina (21Vianet)
https://management.chinacloudapi.cn
HTTPS 443 INDIRIZZO VIP pubblico - /27 Non obbligatorio. È possibile usare lo scenario disconnesso per la registrazione offline.
Utilizzo
Consente agli operatori dell'hub di Azure Stack di configurare l'istanza dell'hub di Azure Stack per segnalare i dati di utilizzo in Azure.
Azure
https://*.trafficmanager.net
https://*.cloudapp.azure.com
Azure per enti pubblici
https://*.usgovtrafficmanager.net
https://*.cloudapp.usgovcloudapi.net
Azure Cina (21Vianet)
https://*.trafficmanager.cn
https://*.cloudapp.chinacloudapi.cn
HTTPS 443 INDIRIZZO VIP pubblico - /27 Obbligatorio per il modello di licenza basato sul consumo dell'hub di Azure Stack.
Windows Defender
Consente al provider di risorse di aggiornamento di scaricare le definizioni antimalware e gli aggiornamenti del motore più volte al giorno.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.com
HTTPS 80, 443 INDIRIZZO VIP pubblico - /27
Rete infrastruttura pubblica
Non obbligatorio. È possibile usare lo scenario disconnesso per aggiornare i file di firma antivirus.
NTP
Consente all'hub di Azure Stack di connettersi ai server temporali.
(IP del server NTP fornito per la distribuzione) UDP 123 INDIRIZZO VIP pubblico - /27 Necessario
DNS
Consente all'hub di Azure Stack di connettersi al server d'inoltro DNS.
(IP del server DNS fornito per la distribuzione) TCP & UDP 53 INDIRIZZO VIP pubblico - /27 Necessario
SYSLOG
Consente all'hub di Azure Stack di inviare messaggi syslog per scopi di monitoraggio o sicurezza.
(IP del server SYSLOG fornito per la distribuzione) TCP 6514,
UDP 514
VIP pubblico - /27 Facoltativo
CRL
Consente all'hub di Azure Stack di convalidare i certificati e verificare la presenza di certificati revocati.
URL in Punti di distribuzione CRL nei certificati HTTP 80 VIP pubblico - /27 Necessario
CRL
Consente all'hub di Azure Stack di convalidare i certificati e verificare la presenza di certificati revocati.
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTP 80 VIP pubblico - /27 Non obbligatorio. Procedura consigliata per la sicurezza altamente consigliata.
LDAP
Consente all'hub di Azure Stack di comunicare con Microsoft Active Directory locale.
Foresta Active Directory fornita per l'integrazione di Graph TCP & UDP 389 VIP pubblico - /27 Obbligatorio quando l'hub di Azure Stack viene distribuito con AD FS.
LDAP SSL
Consente all'hub di Azure Stack di comunicare con Microsoft Active Directory locale.
Foresta Active Directory fornita per l'integrazione di Graph TCP 636 VIP pubblico - /27 Obbligatorio quando l'hub di Azure Stack viene distribuito con AD FS.
LDAP GC
Consente all'hub di Azure Stack di comunicare con i server di catalogo globale Microsoft Active.
Foresta Active Directory fornita per l'integrazione di Graph TCP 3268 VIP pubblico - /27 Obbligatorio quando l'hub di Azure Stack viene distribuito con AD FS.
LDAP GC SSL
Consente all'hub di Azure Stack di comunicare con i server di catalogo globale di Microsoft Active Directory.
Foresta Active Directory fornita per l'integrazione di Graph TCP 3269 VIP pubblico - /27 Obbligatorio quando l'hub di Azure Stack viene distribuito con AD FS.
AD FS
Consente all'hub di Azure Stack di comunicare con AD FS locale.
Endpoint dei metadati DI AD FS fornito per l'integrazione di AD FS TCP 443 VIP pubblico - /27 facoltativo. È possibile creare l'attendibilità del provider di attestazioni AD FS usando un file di metadati.
Raccolta log di diagnostica
Consente all'hub di Azure Stack di inviare i log in modo proattivo o manuale da un operatore al supporto Microsoft.
https://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPS 443 VIP pubblico - /27 Non obbligatorio. È possibile salvare i log in locale.
Supporto remoto
Consente ai professionisti del supporto Microsoft di risolvere più rapidamente il caso di supporto consentendo l'accesso al dispositivo in remoto per eseguire operazioni di risoluzione dei problemi e riparazioni limitate.
https://edgesupprd.trafficmanager.net
https://edgesupprdwestusfrontend.westus2.cloudapp.azure.com
https://edgesupprdwesteufrontend.westeurope.cloudapp.azure.com
https://edgesupprdeastusfrontend.eastus.cloudapp.azure.com
https://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.com
https://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com
*.servicebus.windows.net
HTTPS 443 VIP pubblico - /27 Non obbligatorio.
Telemetria
Consente all'hub di Azure Stack di inviare dati di telemetria a Microsoft.
https://settings-win.data.microsoft.com
https://login.live.com
*.events.data.microsoft.com
A partire dalla versione 2108, sono necessari anche gli endpoint seguenti:
https://*.blob.core.windows.net/
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/
HTTPS 443 VIP pubblico - /27 Obbligatorio quando i dati di telemetria dell'hub di Azure Stack sono abilitati.

Gli URL in uscita sono bilanciati dal carico usando Gestione traffico di Azure per offrire la migliore connettività possibile in base alla posizione geografica. Con GLI URL con carico bilanciato, Microsoft può aggiornare e modificare gli endpoint back-end senza influire sui clienti. Microsoft non condivide l'elenco di indirizzi IP per gli URL con carico bilanciato. Usare un dispositivo che supporta il filtro in base all'URL anziché all'INDIRIZZO IP.

IL DNS in uscita è necessario in ogni momento; ciò che varia è l'origine che esegue una query sul DNS esterno e sul tipo di integrazione delle identità scelto. Durante la distribuzione per uno scenario connesso, la DVM che si trova nella rete BMC richiede l'accesso in uscita. Ma dopo la distribuzione, il servizio DNS passa a un componente interno che invierà query tramite un indirizzo VIP pubblico. In quel momento, l'accesso DNS in uscita tramite la rete BMC può essere rimosso, ma l'accesso VIP pubblico a tale server DNS deve rimanere o altrimenti l'autenticazione avrà esito negativo.

Passaggi successivi

Requisiti dell'infrastruttura PKI dell'hub di Azure Stack