데이터 센터에 Azure Stack 허브 서비스 게시Publish Azure Stack Hub services in your datacenter

Azure Stack 허브는 인프라 역할의 Vip (가상 IP) 주소를 설정 합니다.Azure Stack Hub sets up virtual IP addresses (VIPs) for its infrastructure roles. 이러한 Vip는 공용 IP 주소 풀에서 할당 됩니다.These VIPs are allocated from the public IP address pool. 각 VIP는 소프트웨어 정의 네트워크 계층의 ACL (액세스 제어 목록)을 사용 하 여 보호 됩니다.Each VIP is secured with an access control list (ACL) in the software-defined network layer. 또한 Acl은 물리적 스위치 (T) 및 BMC)에서 솔루션을 강화 하는 데 사용 됩니다.ACLs are also used across the physical switches (TORs and BMC) to further harden the solution. DNS 항목은 배포 시 지정 되는 외부 DNS 영역에 있는 각 끝점에 대해 생성 됩니다.A DNS entry is created for each endpoint in the external DNS zone that's specified at deployment time. 예를 들어 사용자 포털에는 포털의 DNS 호스트 항목이 할당 됩니다. < 지역>입니다. < fqdn> 입니다.For example, the user portal is assigned the DNS host entry of portal.<region>.<fqdn>.

다음 아키텍처 다이어그램에서는 다양 한 네트워크 계층과 Acl을 보여 줍니다.The following architectural diagram shows the different network layers and ACLs:

여러 네트워크 계층과 Acl을 보여 주는 다이어그램

포트 및 UrlPorts and URLs

외부 네트워크에서 사용할 수 있는 Azure Stack 허브 서비스 (예: 포털, Azure Resource Manager, DNS 등)를 만들려면 특정 Url, 포트 및 프로토콜에 대해 이러한 끝점에 대 한 인바운드 트래픽을 허용 해야 합니다.To make Azure Stack Hub services (like the portals, Azure Resource Manager, DNS, and so on) available to external networks, you must allow inbound traffic to these endpoints for specific URLs, ports, and protocols.

기존 프록시 서버 또는 방화벽에 대 한 투명 한 프록시 업링크에서 솔루션을 보호 하는 배포에서 인바운드아웃 바운드 통신에 대해 특정 포트와 url을 허용 해야 합니다.In a deployment where a transparent proxy uplinks to a traditional proxy server or a firewall is protecting the solution, you must allow specific ports and URLs for both inbound and outbound communication. 여기에는 id, marketplace, 패치 및 업데이트, 등록 및 사용 현황 데이터에 대 한 포트 및 Url이 포함 됩니다.These include ports and URLs for identity, the marketplace, patch and update, registration, and usage data.

SSL 트래픽 가로채기는 지원 되지 않으므로 끝점에 액세스할 때 서비스 오류가 발생할 수 있습니다.SSL traffic interception is not supported and can lead to service failures when accessing endpoints.

포트 및 프로토콜 (인바운드)Ports and protocols (inbound)

외부 네트워크에 Azure Stack 허브 끝점을 게시 하려면 인프라 Vip가 필요 합니다.A set of infrastructure VIPs is required for publishing Azure Stack Hub endpoints to external networks. 끝점 (VIP) 테이블은 각 끝점, 필요한 포트 및 프로토콜을 보여 줍니다.The Endpoint (VIP) table shows each endpoint, the required port, and protocol. SQL 리소스 공급자와 같이 추가 리소스 공급자가 필요한 끝점은 특정 리소스 공급자 배포 설명서를 참조 하세요.Refer to the specific resource provider deployment documentation for endpoints that require additional resource providers, like the SQL resource provider.

내부 인프라 Vip는 Azure Stack 허브를 게시 하는 데 필요 하지 않으므로 나열 되지 않습니다.Internal infrastructure VIPs aren't listed because they're not required for publishing Azure Stack Hub. 사용자 Vip는 동적 이며 사용자 자체에 의해 정의 되며 Azure Stack 허브 운영자가 제어 하지 않습니다.User VIPs are dynamic and defined by the users themselves, with no control by the Azure Stack Hub operator.

참고

IKEv2 VPN은 UDP 포트 500 및 4500 및 TCP 포트 50를 사용 하는 표준 기반 IPsec VPN 솔루션입니다.IKEv2 VPN is a standards-based IPsec VPN solution that uses UDP port 500 and 4500 and TCP port 50. 방화벽은 항상 이러한 포트를 열지 않으므로 IKEv2 VPN에서 프록시와 방화벽을 트래버스 하지 못할 수 있습니다.Firewalls don't always open these ports, so an IKEv2 VPN might not be able to traverse proxies and firewalls.

확장 호스트를 추가 하면 12495-30015 범위의 포트가 필요 하지 않습니다.With the addition of the Extension Host, ports in the range of 12495-30015 aren't required.

끝점 (VIP)Endpoint (VIP) DNS 호스트 A 레코드DNS host A record 프로토콜Protocol 포트Ports
AD FSAD FS Adfs. < 지역>입니다. < fqdn>Adfs.<region>.<fqdn> HTTPSHTTPS 443443
포털 (관리자)Portal (administrator) Adminportal. < 지역>입니다. < fqdn>Adminportal.<region>.<fqdn> HTTPSHTTPS 443443
AdminhostingAdminhosting * <region> . adminhosting.<fqdn>*.adminhosting.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (관리자)Azure Resource Manager (administrator) Adminmanagement. < 지역>입니다. < fqdn>Adminmanagement.<region>.<fqdn> HTTPSHTTPS 443443
포털 (사용자)Portal (user) 포탈. < 지역>입니다. < fqdn>Portal.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (사용자)Azure Resource Manager (user) Wmi. < 지역>입니다. < fqdn>Management.<region>.<fqdn> HTTPSHTTPS 443443
그래프Graph 그래프. < 지역>입니다. < fqdn>Graph.<region>.<fqdn> HTTPSHTTPS 443443
인증서 해지 목록Certificate revocation list <>입니다 < . fqdn>Crl.<region>.<fqdn> HTTPHTTP 8080
DNSDNS *. < 지역>입니다. < fqdn>*.<region>.<fqdn> TCP & UDPTCP & UDP 5353
HostingHosting *. <region> 호스팅.<fqdn>*.hosting.<region>.<fqdn> HTTPSHTTPS 443443
Key Vault (사용자)Key Vault (user) *. 자격 증명 모음. < 지역>입니다. < fqdn>*.vault.<region>.<fqdn> HTTPSHTTPS 443443
Key Vault (관리자)Key Vault (administrator) * adminvault. < 지역>입니다. < fqdn>*.adminvault.<region>.<fqdn> HTTPSHTTPS 443443
스토리지 큐Storage Queue *. 큐. < 지역>입니다. < fqdn>*.queue.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
스토리지 테이블Storage Table *. < 지역>입니다. < fqdn>*.table.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
스토리지 BlobStorage Blob *. blob. < 지역>입니다. < fqdn>*.blob.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
SQL 리소스 공급자SQL Resource Provider sqladapter. dbadapter. < 지역>입니다. < fqdn>sqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
MySQL 리소스 공급자MySQL Resource Provider mysqladapter. dbadapter. < 지역>입니다. < fqdn>mysqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
App ServiceApp Service Appservice *. < 지역>입니다. < fqdn>*.appservice.<region>.<fqdn> TCPTCP 80(HTTP)80 (HTTP)
443(HTTPS)443 (HTTPS)
8172 (Msdeploy.exe)8172 (MSDeploy)
Appservice를 * 합니다. < 지역>입니다. < fqdn>*.scm.appservice.<region>.<fqdn> TCPTCP 443(HTTPS)443 (HTTPS)
appservice. < 지역>입니다. < fqdn>api.appservice.<region>.<fqdn> TCPTCP 443(HTTPS)443 (HTTPS)
44300 (Azure Resource Manager)44300 (Azure Resource Manager)
appservice. < 지역>입니다. < fqdn>ftp.appservice.<region>.<fqdn> TCP, UDPTCP, UDP 21, 1021, 10001-10100 (FTP)21, 1021, 10001-10100 (FTP)
990 (FTPS)990 (FTPS)
VPN GatewayVPN Gateways VPN GATEWAY FAQ를 참조하세요.See the VPN gateway FAQ.

포트 및 Url (아웃 바운드)Ports and URLs (outbound)

Azure Stack 허브는 투명 프록시 서버만 지원 합니다.Azure Stack Hub supports only transparent proxy servers. 기존 프록시 서버에 대 한 투명 프록시 업링크를 사용 하는 배포에서는 아웃 바운드 통신을 위해 다음 표에 있는 포트 및 Url을 허용 해야 합니다.In a deployment with a transparent proxy uplink to a traditional proxy server, you must allow the ports and URLs in the following table for outbound communication.

SSL 트래픽 가로채기는 지원 되지 않으므로 끝점에 액세스할 때 서비스 오류가 발생할 수 있습니다.SSL traffic interception is not supported and can lead to service failures when accessing endpoints. Id에 필요한 끝점과 통신 하는 데 지원 되는 최대 제한 시간은 60 초입니다.The maximum supported timeout to communicate with endpoints required for identity is 60s.

참고

Express 경로에서 트래픽을 모든 끝점으로 라우팅할 수 없기 때문에 Azure Stack 허브는 다음 표에 나열 된 Azure 서비스에 도달 하기 위해 Express 경로를 사용 하는 것을 지원 하지 않습니다.Azure Stack Hub doesn't support using ExpressRoute to reach the Azure services listed in the following table because ExpressRoute may not be able to route traffic to all of the endpoints.

목적Purpose 대상 URLDestination URL 프로토콜Protocol 포트Ports 원본 네트워크Source Network
IDIdentity AzureAzure
login.windows.netlogin.windows.net
login.microsoftonline.comlogin.microsoftonline.com
graph.windows.netgraph.windows.net
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
www.office.comwww.office.com
ManagementServiceUri = https: / /management.core.windows.netManagementServiceUri = https://management.core.windows.net
ARMUri = https: / /management.azure.comARMUri = https://management.azure.com
https: / / * . msftauth.nethttps://*.msftauth.net
https: / / * . msauth.nethttps://*.msauth.net
https: / / * . msocdn.comhttps://*.msocdn.com
Azure GovernmentAzure Government
https: / /login.microsoftonline.us/https://login.microsoftonline.us/
https: / /graph.windows.net/https://graph.windows.net/
Azure China 21VianetAzure China 21Vianet
https: / /login.chinacloudapi.cn/https://login.chinacloudapi.cn/
https: / /graph.chinacloudapi.cn/https://graph.chinacloudapi.cn/
Azure 독일Azure Germany
https: / /login.microsoftonline.de/https://login.microsoftonline.de/
https: / /graph.cloudapi.de/https://graph.cloudapi.de/
HTTPHTTP
HTTPSHTTPS
8080
443443
공용 VIP-/27Public VIP - /27
공용 인프라 네트워크Public infrastructure Network
Marketplace 배포Marketplace syndication AzureAzure
https://management.azure.comhttps://management.azure.com
https://* blob.core.windows.nethttps://*.blob.core.windows.net
https://* azureedge.nethttps://*.azureedge.net
Azure GovernmentAzure Government
https: / /management.usgovcloudapi.net/https://management.usgovcloudapi.net/
https://* blob.core.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/
Azure China 21VianetAzure China 21Vianet
https: / /management.chinacloudapi.cn/https://management.chinacloudapi.cn/
http://* blob.core.chinacloudapi.cnhttp://*.blob.core.chinacloudapi.cn
HTTPSHTTPS 443443 공용 VIP-/27Public VIP - /27
패치 & 업데이트Patch & Update https://* azureedge.nethttps://*.azureedge.net
https: / /aka.ms/azurestackautomaticupdatehttps://aka.ms/azurestackautomaticupdate
HTTPSHTTPS 443443 공용 VIP-/27Public VIP - /27
등록Registration AzureAzure
https://management.azure.comhttps://management.azure.com
Azure GovernmentAzure Government
https: / /management.usgovcloudapi.net/https://management.usgovcloudapi.net/
Azure China 21VianetAzure China 21Vianet
https: / /management.chinacloudapi.cnhttps://management.chinacloudapi.cn
HTTPSHTTPS 443443 공용 VIP-/27Public VIP - /27
사용량Usage AzureAzure
https://* trafficmanager.nethttps://*.trafficmanager.net
Azure GovernmentAzure Government
https://* usgovtrafficmanager.nethttps://*.usgovtrafficmanager.net
Azure China 21VianetAzure China 21Vianet
https://* trafficmanager.cnhttps://*.trafficmanager.cn
HTTPSHTTPS 443443 공용 VIP-/27Public VIP - /27
Windows DefenderWindows Defender * wdcp.microsoft.com*.wdcp.microsoft.com
* wdcpalt.microsoft.com*.wdcpalt.microsoft.com
* wd.microsoft.com*.wd.microsoft.com
* update.microsoft.com*.update.microsoft.com
* download.microsoft.com*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
HTTPSHTTPS 8080
443443
공용 VIP-/27Public VIP - /27
공용 인프라 네트워크Public infrastructure Network
NTPNTP (배포용으로 제공 된 NTP 서버의 IP)(IP of NTP server provided for deployment) UDPUDP 123123 공용 VIP-/27Public VIP - /27
DNSDNS (배포용으로 제공 된 DNS 서버의 IP)(IP of DNS server provided for deployment) TCPTCP
UDPUDP
5353 공용 VIP-/27Public VIP - /27
SYSLOGSYSLOG (배포용으로 제공 된 SYSLOG 서버의 IP)(IP of SYSLOG server provided for deployment) TCPTCP
UDPUDP
65146514
514514
공용 VIP-/27Public VIP - /27
CRLCRL (인증서의 CRL 배포 지점의 URL)(URL under CRL Distribution Points on your certificate)
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTPHTTP 8080 공용 VIP-/27Public VIP - /27
LDAPLDAP 그래프 통합을 위해 제공 되는 Active Directory 포리스트Active Directory Forest provided for Graph integration TCPTCP
UDPUDP
389389 공용 VIP-/27Public VIP - /27
LDAP SSLLDAP SSL 그래프 통합을 위해 제공 되는 Active Directory 포리스트Active Directory Forest provided for Graph integration TCPTCP 636636 공용 VIP-/27Public VIP - /27
LDAP GCLDAP GC 그래프 통합을 위해 제공 되는 Active Directory 포리스트Active Directory Forest provided for Graph integration TCPTCP 32683268 공용 VIP-/27Public VIP - /27
LDAP GC SSLLDAP GC SSL 그래프 통합을 위해 제공 되는 Active Directory 포리스트Active Directory Forest provided for Graph integration TCPTCP 32693269 공용 VIP-/27Public VIP - /27
AD FSAD FS AD FS 통합을 위해 제공 된 메타 데이터 끝점 AD FSAD FS metadata endpoint provided for AD FS integration TCPTCP 443443 공용 VIP-/27Public VIP - /27
진단 로그 수집Diagnostic log collection https://* .cc.nethttps://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPSHTTPS 443443 공용 VIP-/27Public VIP - /27

아웃 바운드 Url은 Azure traffic manager를 사용 하 여 부하 분산 되므로 지리적 위치에 따라 가능한 최상의 연결을 제공 합니다.Outbound URLs are load balanced using Azure traffic manager to provide the best possible connectivity based on geographic location. 부하 분산 된 Url을 사용 하 여 Microsoft는 고객에 게 영향을 주지 않고 백엔드 끝점을 업데이트 하 고 변경할 수With load balanced URLs, Microsoft can update and change backend endpoints without affecting customers. Microsoft에서는 부하 분산 된 Url에 대 한 IP 주소 목록을 공유 하지 않습니다.Microsoft doesn't share the list of IP addresses for the load balanced URLs. IP 대신 URL을 기준으로 필터링을 지 원하는 장치를 사용 합니다.Use a device that supports filtering by URL rather than by IP.

아웃 바운드 DNS는 항상 필요 합니다. 외부 DNS를 쿼리 하는 원본 및 선택한 id 통합 유형에 따라 달라 집니다.Outbound DNS is required at all times; what varies is the source querying the external DNS and what type of identity integration was chosen. 연결 된 시나리오를 배포 하는 동안 BMC 네트워크에 있는 DVM에는 아웃 바운드 액세스가 필요 합니다.During deployment for a connected scenario, the DVM that sits on the BMC network needs outbound access. 그러나 배포 후에 DNS 서비스는 공용 VIP를 통해 쿼리를 전송 하는 내부 구성 요소로 이동 됩니다.But after deployment, the DNS service moves to an internal component that will send queries through a Public VIP. 이때 BMC 네트워크를 통한 아웃 바운드 DNS 액세스는 제거 될 수 있지만 해당 DNS 서버에 대 한 공용 VIP 액세스는 남아 있어야 합니다. 그렇지 않으면 인증에 실패 합니다.At that time, the outbound DNS access through the BMC network can be removed, but the Public VIP access to that DNS server must remain or else authentication will fail.

다음 단계Next steps

Azure Stack 허브 PKI 요구 사항Azure Stack Hub PKI requirements