データセンターに Azure Stack Hub サービスを発行する

Azure Stack Hub では、そのインフラストラクチャ ロールのために仮想 IP アドレス (VIP) を設定します。 この VIP はパブリック IP アドレス プールから割り当てられます。 各 VIP は、ソフトウェア定義のネットワーク レイヤーで、アクセス制御リスト (ACL) で保護されます。 ACL は、ソリューションをさらに強化するために、さまざまな物理スイッチ (TOR や BMC) でも使われます。 デプロイ時に指定された外部 DNS ゾーン内のエンドポイントごとに、DNS エントリが作成されます。 たとえば、ユーザー ポータルに portal. <region>.<fqdn> の DNS ホスト エントリが割り当てられます。

次のアーキテクチャ図は、さまざまなネットワーク レイヤーと ACL を示しています。

さまざまなネットワーク レイヤーと ACL を示した図

ポートと URL

Azure Stack Hub サービス (ポータル、Azure Resource Manager、DNS など) を外部ネットワークで使用できるようにするには、特定の URL、ポート、プロトコルに対して、これらのエンドポイントへの受信トラフィックを許可する必要があります。

透過プロキシから従来のプロキシ サーバーへのアップリンクが存在するか、ファイアウォールでソリューションを保護しているデプロイでは、特定のポートと URL に受信および送信の両方の通信を許可する必要があります。 これには、ID、マーケットプレース、パッチと更新プログラム、登録、使用状況データに使用するポートと URL が該当します。

SSL トラフィックのインターセプトはサポートされておらず、エンドポイントへのアクセスでサービス エラーが発生する可能性があります。

ポートとプロトコル (受信)

Azure Stack Hub エンドポイントを外部ネットワークに発行するには、一連のインフラストラクチャ VIP が必要です。 "エンドポイント (VIP) " の表は、各エンドポイント、必要なポート、およびプロトコルを示しています。 SQL リソース プロバイダーなど、追加のリソース プロバイダーを必要とするエンドポイントについては、特定のリソース プロバイダーのデプロイに関するドキュメントを参照してください。

内部インフラストラクチャの VIP は Azure Stack Hub の発行には必要ないため、リストされていません。 ユーザーの VIP は動的であり、ユーザー自身によって定義され、Azure Stack Hub オペレーターによって制御されません。

注意

IKEv2 VPN は、標準ベースの IPsec VPN ソリューションであり、UDP ポート 500 と 4500、および TCP ポート 50 を使用します。 ファイアウォールでは、これらのポートが必ずしも開いているとは限りません。そのため、IKEv2 VPN ではプロキシとファイアウォールを通過できないことがあります。

拡張機能ホストの追加により、12495 から 30015 の範囲のポートは必要ありません。

エンドポイント (VIP) DNS ホスト A レコード Protocol Port
AD FS Adfs. <region>.<fqdn> HTTPS 443
ポータル (管理者) Adminportal. <region>.<fqdn> HTTPS 443
AdminHosting *.adminhosting.<region>.<fqdn> HTTPS 443
Azure Resource Manager (管理者) Adminmanagement. <region>.<fqdn> HTTPS 443
ポータル (ユーザー) Portal. <region>.<fqdn> HTTPS 443
Azure Resource Manager (ユーザー) Management. <region>.<fqdn> HTTPS 443
グラフ Graph. <region>.<fqdn> HTTPS 443
証明書の失効リスト Crl. <region>.<fqdn> HTTP 80
DNS *. <region>.<fqdn> TCP と UDP 53
Hosting *.hosting.<region>.<fqdn> HTTPS 443
Key Vault (ユーザー) *.vault. <region>.<fqdn> HTTPS 443
Key Vault (管理者) *.adminvault. <region>.<fqdn> HTTPS 443
ストレージ キュー *.queue. <region>.<fqdn> HTTP
HTTPS
80
443
ストレージ テーブル *.table. <region>.<fqdn> HTTP
HTTPS
80
443
ストレージ BLOB *.blob. <region>.<fqdn> HTTP
HTTPS
80
443
SQL リソース プロバイダー sqladapter.dbadapter. <region>.<fqdn> HTTPS 44300-44304
MySQL リソース プロバイダー mysqladapter.dbadapter. <region>.<fqdn> HTTPS 44300-44304
App Service *.appservice. <region>.<fqdn> TCP 80 (HTTP)
443 (HTTPS)
8172 (MSDeploy)
*.scm.appservice. <region>.<fqdn> TCP 443 (HTTPS)
api.appservice. <region>.<fqdn> TCP 443 (HTTPS)
44300 (Azure Resource Manager)
ftp.appservice. <region>.<fqdn> TCP、UDP 21、1021、10001-10100 (FTP)
990 (FTPS)
VPN ゲートウェイ VPN Gateway に関する FAQ を参照してください

ポートと URL (送信)

Azure Stack Hub では、透過プロキシ サーバーのみがサポートされます。 透過プロキシから従来のプロキシ サーバーへのアップリンクが存在するデプロイ環境では、次の表のポートと URL に外部への通信を許可する必要があります。 透過プロキシ サーバーの構成の詳細については、「Azure Stack Hub の透過プロキシ」を参照してください。

SSL トラフィックのインターセプトはサポートされておらず、エンドポイントへのアクセスでサービス エラーが発生する可能性があります。 ID に必要なエンドポイントとの通信に対してサポートされる最大タイムアウトは、60 秒です。

注意

ExpressRoute ではすべてのエンドポイントにトラフィックをルーティングできない場合があるため、Azure Stack Hub では、ExpressRoute を使用して、次の表にリストされている Azure サービスに到達することはサポートされていません。

目的 接続先 URL プロトコル/ポート ソース ネットワーク 要件
ID
Azure Stack Hub が Azure Active Directory に接続して、ユーザーとサービスの認証を行えるようにします。
Azure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure Government
https://login.microsoftonline.us/
https://graph.windows.net/
Azure China 21Vianet
https://login.chinacloudapi.cn/
https://graph.chinacloudapi.cn/
Azure Germany
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP 80、
HTTPS 443
パブリック VIP - /27
パブリック インフラストラクチャ ネットワーク
接続されたデプロイの場合は必須です。
Marketplace シンジケーション
Marketplace から Azure Stack Hub に項目をダウンロードし、Azure Stack Hub 環境を使用して、すべてのユーザーがそれらを利用できるようにすることができます。
Azure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure Government
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
Azure China 21Vianet
https://management.chinacloudapi.cn/
http://*.blob.core.chinacloudapi.cn
HTTPS 443 パブリック VIP - /27 不要。 切断されたシナリオの指示に従って、Azure Stack Hub にイメージをアップロードします。
パッチと更新プログラム
更新エンドポイントに接続されている場合、Azure Stack Hub のソフトウェア更新プログラムと修正プログラムは、ダウンロード可能なものとして表示されます。
https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 パブリック VIP - /27 不要。 切断されたデプロイの接続指示に従って、手動で更新プログラムをダウンロードして準備します。
登録
Azure Stack Hub を Azure に登録して、Azure Marketplace 項目をダウンロードしたり、Microsoft に報告を返すコマース データを設定したりできるようにします。
Azure
https://management.azure.com
Azure Government
https://management.usgovcloudapi.net/
Azure China 21Vianet
https://management.chinacloudapi.cn
HTTPS 443 パブリック VIP - /27 不要。 オフライン登録には、切断されたシナリオを使用できます。
使用方法
Azure Stack Hub オペレーターで、使用状況データを Azure に報告するように Azure Stack Hub インスタンスを構成できるようにします。
Azure
https://*.trafficmanager.net
Azure Government
https://*.usgovtrafficmanager.net
Azure China 21Vianet
https://*.trafficmanager.cn
HTTPS 443 パブリック VIP - /27 Azure Stack Hub 使用量ベースのライセンス モデルに必要です。
Windows Defender
更新リソース プロバイダーで、1 日に複数回、マルウェア対策の定義とエンジンの更新プログラムをダウンロードできるようにします。
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.com
HTTPS 80、443 パブリック VIP - /27
パブリック インフラストラクチャ ネットワーク
不要。 切断されたシナリオを使用して、ウイルス対策の署名ファイルを更新できます。
NTP
Azure Stack Hub がタイム サーバーに接続できるようにします。
(デプロイに提供される NTP サーバーの IP) UDP 123 パブリック VIP - /27 必須
DNS
Azure Stack Hub が DNS サーバー フォワーダーに接続できるようにします。
(デプロイに提供される DNS サーバーの IP) TCP & UDP 53 パブリック VIP - /27 必須
SYSLOG
Azure Stack Hub が監視またはセキュリティの目的で syslog メッセージを送信できるようにします。
(デプロイに提供される SYSLOG サーバーの IP) TCP 6514、
UDP 514
パブリック VIP - /27 オプション
CRL
Azure Stack Hub が証明書を検証し、失効した証明書を確認できるようにします。
(証明書上で CRL 配布ポイントの下にある URL)
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTP 80 パブリック VIP - /27 不要。 セキュリティのベスト プラクティスを強くお勧めします。
LDAP
Azure Stack Hub がオンプレミスの Microsoft Active Directory と通信できるようにします。
Graph 統合のために用意されている Active Directory フォレスト TCP & UDP 389 パブリック VIP - /27 AD FS を使用して Azure Stack Hub をデプロイする場合には必須。
LDAP SSL
Azure Stack Hub がオンプレミスの Microsoft Active Directory と暗号化された通信を行えるようにします。
Graph 統合のために用意されている Active Directory フォレスト TCP 636 パブリック VIP - /27 AD FS を使用して Azure Stack Hub をデプロイする場合には必須。
LDAP GC
Azure Stack Hub が Microsoft Active グローバル カタログ サーバーと通信できるようにします。
Graph 統合のために用意されている Active Directory フォレスト TCP 3268 パブリック VIP - /27 AD FS を使用して Azure Stack Hub をデプロイする場合には必須。
LDAP GC SSL
Azure Stack Hub が Microsoft Active Directory グローバル カタログ サーバーと暗号化された通信を行えるようにします。
Graph 統合のために用意されている Active Directory フォレスト TCP 3269 パブリック VIP - /27 AD FS を使用して Azure Stack Hub をデプロイする場合には必須。
AD FS
Azure Stack Hub がオンプレミスの AD FS と通信できるようにします。
AD FS 統合のために用意されている AD FS メタデータ エンドポイント TCP 443 パブリック VIP - /27 任意。 AD FS クレーム プロバイダーの信頼は、メタデータ ファイルを使用して作成できます。
診断ログの収集
Azure Stack Hub がオペレーターによって事前にまたは手動で Microsoft サポートにログを送信できるようにします。
https://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPS 443 パブリック VIP - /27 不要。 ログはローカルに保存できます。

送信 URL は Azure Traffic Manager を使用して負荷分散され、地理的な場所に基づいて可能な限り最適な接続が提供されます。 URL を負荷分散することで、Microsoft は、顧客に影響を与えることなくバックエンド エンドポイントを更新および変更することができます。 Microsoft では、負荷分散される URL の IP アドレスのリストを共有していません。 IP ではなく URL によるフィルター処理をサポートするデバイスを使用してください。

送信 DNS は常に必要です。違っているのは、外部 DNS のクエリを実行しているソースと、選択された ID 統合の種類です。 接続されたシナリオの場合は、デプロイ時には BMC ネットワーク上に配置された DVM で送信アクセスが必要です。 しかし、デプロイ後は、DNS サービスはパブリック VIP を使用してクエリを送信する内部コンポーネントに移動します。 その時点で、BMC ネットワーク経由での送信 DNS アクセスは削除できますが、その DNS サーバーへのパブリック VIP アクセスは残しておく必要があり、そうしないと認証は失敗します。

次のステップ

Azure Stack Hub PKI の要件