Azure Stack hub-Services publiceren in uw Data CenterPublish Azure Stack Hub services in your datacenter

Azure Stack hub stelt virtuele IP-adressen (Vip's) in voor de infrastructuur rollen.Azure Stack Hub sets up virtual IP addresses (VIPs) for its infrastructure roles. Deze Vip's worden toegewezen vanuit de open bare IP-adres groep.These VIPs are allocated from the public IP address pool. Elke VIP wordt beveiligd met een toegangs beheer lijst (ACL) in de door de software gedefinieerde netwerklaag.Each VIP is secured with an access control list (ACL) in the software-defined network layer. Acl's worden ook gebruikt in de fysieke switches (TORs en BMC) om de oplossing verder te beveiligen.ACLs are also used across the physical switches (TORs and BMC) to further harden the solution. Er wordt een DNS-vermelding gemaakt voor elk eind punt in de externe DNS-zone die tijdens de implementatie is opgegeven.A DNS entry is created for each endpoint in the external DNS zone that's specified at deployment time. De gebruikers portal wordt bijvoorbeeld toegewezen aan de DNS-host-invoer van de portal. < regio>. < FQDN->.For example, the user portal is assigned the DNS host entry of portal.<region>.<fqdn>.

In het volgende architecturale diagram worden de verschillende netwerk lagen en Acl's weer gegeven:The following architectural diagram shows the different network layers and ACLs:

Diagram van weer gave van verschillende netwerk lagen en Acl's

Poorten en Url'sPorts and URLs

Als u Azure Stack hub-Services wilt maken (zoals de portals, Azure Resource Manager, DNS, enzovoort) die beschikbaar zijn voor externe netwerken, moet u inkomend verkeer naar deze eind punten toestaan voor specifieke Url's, poorten en protocollen.To make Azure Stack Hub services (like the portals, Azure Resource Manager, DNS, and so on) available to external networks, you must allow inbound traffic to these endpoints for specific URLs, ports, and protocols.

In een implementatie waarbij een transparante proxy-koppeling naar een traditionele proxy server of een firewall de oplossing beveiligt, moet u specifieke poorten en Url's voor zowel binnenkomende als uitgaande communicatie toestaan.In a deployment where a transparent proxy uplinks to a traditional proxy server or a firewall is protecting the solution, you must allow specific ports and URLs for both inbound and outbound communication. Dit zijn onder andere poorten en Url's voor identiteiten, de Marketplace, patch-en update-, registratie-en gebruiks gegevens.These include ports and URLs for identity, the marketplace, patch and update, registration, and usage data.

SSL-verkeers interceptie wordt niet ondersteund en kan leiden tot service fouten bij het openen van eind punten.SSL traffic interception is not supported and can lead to service failures when accessing endpoints.

Poorten en protocollen (inkomend)Ports and protocols (inbound)

Er is een set infrastructuur Vip's vereist voor het publiceren van Azure Stack hub-eind punten naar externe netwerken.A set of infrastructure VIPs is required for publishing Azure Stack Hub endpoints to external networks. In de tabel endpoint (VIP) worden elk eind punt, de vereiste poort en het protocol weer gegeven.The Endpoint (VIP) table shows each endpoint, the required port, and protocol. Raadpleeg de specifieke implementatie documentatie voor de resource provider voor eind punten waarvoor extra resource providers zijn vereist, zoals de SQL-resource provider.Refer to the specific resource provider deployment documentation for endpoints that require additional resource providers, like the SQL resource provider.

Interne infrastructuur Vip's worden niet weer gegeven omdat deze niet vereist zijn voor het publiceren van Azure Stack hub.Internal infrastructure VIPs aren't listed because they're not required for publishing Azure Stack Hub. Gebruikers Vip's zijn dynamisch en worden gedefinieerd door de gebruikers zelf, zonder controle door de operator Azure Stack hub.User VIPs are dynamic and defined by the users themselves, with no control by the Azure Stack Hub operator.

Notitie

IKEv2 VPN is een op standaarden gebaseerde IPsec VPN-oplossing die gebruikmaakt van UDP-poort 500 en 4500 en TCP-poort 50.IKEv2 VPN is a standards-based IPsec VPN solution that uses UDP port 500 and 4500 and TCP port 50. Firewalls openen niet altijd deze poorten, zodat een IKEv2 VPN mogelijk geen proxy's en firewalls kan passeren.Firewalls don't always open these ports, so an IKEv2 VPN might not be able to traverse proxies and firewalls.

Voor de toevoeging van de hostvan de extensie zijn poorten in het bereik van 12495-30015 niet vereist.With the addition of the Extension Host, ports in the range of 12495-30015 aren't required.

Eind punt (VIP)Endpoint (VIP) DNS host A-recordDNS host A record ProtocolProtocol PoortenPorts
AD FSAD FS ADFS. < regio>. < FQDN->Adfs.<region>.<fqdn> HTTPSHTTPS 443443
Portal (beheerder)Portal (administrator) Adminportal. < regio>. < FQDN->Adminportal.<region>.<fqdn> HTTPSHTTPS 443443
AdminhostingAdminhosting *. adminhosting. <region> .<fqdn>*.adminhosting.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (beheerder)Azure Resource Manager (administrator) Adminmanagement. < regio>. < FQDN->Adminmanagement.<region>.<fqdn> HTTPSHTTPS 443443
Portal (gebruiker)Portal (user) Portal. < regio>. < FQDN->Portal.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (gebruiker)Azure Resource Manager (user) CRM. < regio>. < FQDN->Management.<region>.<fqdn> HTTPSHTTPS 443443
GraphGraph Graph. < regio>. < FQDN->Graph.<region>.<fqdn> HTTPSHTTPS 443443
CertificaatintrekkingslijstCertificate revocation list CRL.< region->. < FQDN->Crl.<region>.<fqdn> HTTPHTTP 8080
DNSDNS *. < regio>. < FQDN->*.<region>.<fqdn> TCP-& UDPTCP & UDP 5353
HostingHosting *. hosten. <region> ..<fqdn>*.hosting.<region>.<fqdn> HTTPSHTTPS 443443
Key Vault (gebruiker)Key Vault (user) *. kluis. < regio>. < FQDN->*.vault.<region>.<fqdn> HTTPSHTTPS 443443
Key Vault (beheerder)Key Vault (administrator) *. adminvault. < regio>. < FQDN->*.adminvault.<region>.<fqdn> HTTPSHTTPS 443443
OpslagwachtrijStorage Queue *. Queue. < regio>. < FQDN->*.queue.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Opslag tabelStorage Table *. table. < regio>. < FQDN->*.table.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Storage BlobStorage Blob *. blob. < regio>. < FQDN->*.blob.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
SQL-resource providerSQL Resource Provider sqladapter.dbadapter. < regio>. < FQDN->sqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
MySQL-resource providerMySQL Resource Provider mysqladapter.dbadapter. < regio>. < FQDN->mysqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
App ServiceApp Service *. appservice. < regio>. < FQDN->*.appservice.<region>.<fqdn> TCPTCP 80 (HTTP)80 (HTTP)
443 (HTTPS)443 (HTTPS)
8172 (MSDeploy)8172 (MSDeploy)
*. scm. appservice. < regio>. < FQDN->*.scm.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
API. appservice. < regio>. < FQDN->api.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
44300 (Azure Resource Manager)44300 (Azure Resource Manager)
FTP. appservice. < regio>. < FQDN->ftp.appservice.<region>.<fqdn> TCP, UDPTCP, UDP 21, 1021, 10001-10100 (FTP)21, 1021, 10001-10100 (FTP)
990 (FTPS)990 (FTPS)
VPN-gatewaysVPN Gateways Raadpleeg de veelgestelde vragen over de VPN-gateway.See the VPN gateway FAQ.

Poorten en Url's (uitgaand)Ports and URLs (outbound)

Azure Stack hub ondersteunt alleen transparante proxy servers.Azure Stack Hub supports only transparent proxy servers. In een implementatie met een transparante proxy-uplink naar een traditionele proxy server moet u de poorten en Url's in de volgende tabel toestaan voor uitgaande communicatie.In a deployment with a transparent proxy uplink to a traditional proxy server, you must allow the ports and URLs in the following table for outbound communication. Zie voor meer informatie over het configureren van transparante proxy servers transparante proxy voor Azure stack hub.For more information on configuring transparent proxy servers, see Transparent proxy for Azure Stack Hub.

SSL-verkeers interceptie wordt niet ondersteund en kan leiden tot service fouten bij het openen van eind punten.SSL traffic interception is not supported and can lead to service failures when accessing endpoints. De Maxi maal ondersteunde time-out voor communicatie met de vereiste eind punten voor de identiteit is 60s.The maximum supported timeout to communicate with endpoints required for identity is 60s.

Notitie

Azure Stack hub biedt geen ondersteuning voor het gebruik van ExpressRoute om de Azure-Services te bereiken die worden vermeld in de volgende tabel, omdat ExpressRoute mogelijk geen verkeer kan door sturen naar alle eind punten.Azure Stack Hub doesn't support using ExpressRoute to reach the Azure services listed in the following table because ExpressRoute may not be able to route traffic to all of the endpoints.

DoelPurpose Doel-URLDestination URL Protocol/poortenProtocol / Ports Bron netwerkSource Network VereisteRequirement
IdentiteitIdentity
Hiermee kan Azure Stack hub verbinding maken met Azure Active Directory voor verificatie van de gebruiker & service.Allows Azure Stack Hub to connect to Azure Active Directory for User & Service authentication.
AzureAzure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.netManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.comARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure GovernmentAzure Government
https://login.microsoftonline.us/
https://graph.windows.net/
Azure China 21VianetAzure China 21Vianet
https://login.chinacloudapi.cn/
https://graph.chinacloudapi.cn/
Azure DuitslandAzure Germany
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP 80,HTTP 80,
HTTPS 443HTTPS 443
Open bare VIP-/27Public VIP - /27
Openbaar infrastructuur netwerkPublic infrastructure Network
Verplicht voor een verbonden implementatie.Mandatory for a connected deployment.
Marketplace-syndicatieMarketplace syndication
Hiermee kunt u items downloaden van de Marketplace naar Azure Stack hub en deze beschikbaar maken voor alle gebruikers die gebruikmaken van de Azure Stack hub-omgeving.Allows you to download items to Azure Stack Hub from the Marketplace and make them available to all users using the Azure Stack Hub environment.
AzureAzure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure GovernmentAzure Government
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
Azure China 21VianetAzure China 21Vianet
https://management.chinacloudapi.cn/
http://*.blob.core.chinacloudapi.cn
HTTPS 443HTTPS 443 Open bare VIP-/27Public VIP - /27 Niet vereist.Not required. Gebruik de niet- verbonden scenario-instructies voor het uploaden van installatie kopieën naar Azure stack hub.Use the disconnected scenario instructions to upload images to Azure Stack Hub.
Update patch &Patch & Update
Als er verbinding wordt gemaakt met update-eind punten, worden Azure Stack hub-software-updates en hotfixes weer gegeven als beschikbaar voor downloaden.When connected to update endpoints, Azure Stack Hub software updates and hotfixes are displayed as available for download.
https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443HTTPS 443 Open bare VIP-/27Public VIP - /27 Niet vereist.Not required. Gebruik de verbindings instructies voor niet-verbonden implementatie om de update hand matig te downloaden en voor te bereiden.Use the disconnected deployment connection instructions to manually download and prepare the update.
RegistratieRegistration
Hiermee kunt u Azure Stack hub registreren bij Azure om Azure Marketplace-items te downloaden en Commerce Data Reporting weer in te stellen voor micro soft.Allows you to register Azure Stack Hub with Azure to download Azure Marketplace items and set up commerce data reporting back to Microsoft.
AzureAzure
https://management.azure.com
Azure GovernmentAzure Government
https://management.usgovcloudapi.net/
Azure China 21VianetAzure China 21Vianet
https://management.chinacloudapi.cn
HTTPS 443HTTPS 443 Open bare VIP-/27Public VIP - /27 Niet vereist.Not required. U kunt het niet-verbonden scenario gebruiken voor offline registratie.You can use the disconnected scenario for offline registration.
GebruikUsage
Hiermee kunnen Azure Stack hub-Opera tors hun Azure Stack hub-exemplaar configureren om gebruiks gegevens te rapporteren aan Azure.Allows Azure Stack Hub operators to configure their Azure Stack Hub instance to report usage data to Azure.
AzureAzure
https://*.trafficmanager.net
Azure GovernmentAzure Government
https://*.usgovtrafficmanager.net
Azure China 21VianetAzure China 21Vianet
https://*.trafficmanager.cn
HTTPS 443HTTPS 443 Open bare VIP-/27Public VIP - /27 Vereist voor het licentie model op basis van Azure Stack hub-verbruik.Required for Azure Stack Hub consumption based licensing model.
Windows DefenderWindows Defender
Hiermee kan de resource provider van de update de antimalware-definities en engine-updates meerdere keren per dag downloaden.Allows the update resource provider to download antimalware definitions and engine updates multiple times per day.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.com
HTTPS 80, 443HTTPS 80, 443 Open bare VIP-/27Public VIP - /27
Openbaar infrastructuur netwerkPublic infrastructure Network
Niet vereist.Not required. U kunt het niet- verbonden scenario gebruiken om virus handtekeningen bestanden bij te werken.You can use the disconnected scenario to update antivirus signature files.
NTPNTP
Hiermee kan Azure Stack hub verbinding maken met tijd servers.Allows Azure Stack Hub to connect to time servers.
(IP van de NTP-server die voor de implementatie is meegeleverd)(IP of NTP server provided for deployment) UDP 123UDP 123 Open bare VIP-/27Public VIP - /27 VereistRequired
DNSDNS
Hiermee kan Azure Stack hub verbinding maken met de DNS-doorstuur server.Allows Azure Stack Hub to connect to the DNS server forwarder.
(IP van de DNS-server die voor de implementatie is meegeleverd)(IP of DNS server provided for deployment) TCP-& UDP 53TCP & UDP 53 Open bare VIP-/27Public VIP - /27 VereistRequired
SYSLOGSYSLOG
Hiermee kan Azure Stack hub syslog-bericht verzenden voor bewakings-of beveiligings doeleinden.Allows Azure Stack Hub to send syslog message for monitoring or security purposes.
(IP van SYSLOG-server meegeleverd voor implementatie)(IP of SYSLOG server provided for deployment) TCP 6514,TCP 6514,
UDP 514UDP 514
Open bare VIP-/27Public VIP - /27 OptioneelOptional
CERTIFICAATINTREKKINGSLIJSTCRL
Hiermee kan Azure Stack hub certificaten valideren en controleren op ingetrokken certificaten.Allows Azure Stack Hub to validate certificates and check for revoked certificates.
(URL onder CRL-distributie punten in uw certificaat)(URL under CRL Distribution Points on your certificate)
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTP 80HTTP 80 Open bare VIP-/27Public VIP - /27 Niet vereist.Not required. Sterk aanbevolen beveiligings best practice.Highly recommended security best practice.
LDAPLDAP
Hiermee kan Azure Stack hub communiceren met micro soft Active Directory on-premises.Allows Azure Stack Hub to communicate with Microsoft Active Directory on-premises.
Active Directory forest voor de integratie van grafiekenActive Directory Forest provided for Graph integration TCP-& UDP 389TCP & UDP 389 Open bare VIP-/27Public VIP - /27 Vereist wanneer Azure Stack hub wordt geïmplementeerd met behulp van AD FS.Required when Azure Stack Hub is deployed using AD FS.
LDAP SSLLDAP SSL
Hiermee kan Azure Stack hub versleuteld communiceren met micro soft Active Directory on-premises.Allows Azure Stack Hub to communicate encrypted with Microsoft Active Directory on-premises.
Active Directory forest voor de integratie van grafiekenActive Directory Forest provided for Graph integration TCP 636TCP 636 Open bare VIP-/27Public VIP - /27 Vereist wanneer Azure Stack hub wordt geïmplementeerd met behulp van AD FS.Required when Azure Stack Hub is deployed using AD FS.
LDAP-GCLDAP GC
Hiermee kan Azure Stack hub communiceren met micro soft Active Global Catalog-servers.Allows Azure Stack Hub to communicate with Microsoft Active Global Catalog Servers.
Active Directory forest voor de integratie van grafiekenActive Directory Forest provided for Graph integration TCP 3268TCP 3268 Open bare VIP-/27Public VIP - /27 Vereist wanneer Azure Stack hub wordt geïmplementeerd met behulp van AD FS.Required when Azure Stack Hub is deployed using AD FS.
LDAP GC-SSLLDAP GC SSL
Hiermee kan Azure Stack hub versleuteld communiceren met micro soft Active Directory Global Catalog-servers.Allows Azure Stack Hub to communicate encrypted with Microsoft Active Directory Global Catalog Servers.
Active Directory forest voor de integratie van grafiekenActive Directory Forest provided for Graph integration TCP 3269TCP 3269 Open bare VIP-/27Public VIP - /27 Vereist wanneer Azure Stack hub wordt geïmplementeerd met behulp van AD FS.Required when Azure Stack Hub is deployed using AD FS.
AD FSAD FS
Hiermee kan Azure Stack hub communiceren met on-premises AD FS.Allows Azure Stack Hub to communicate with on-premise AD FS.
AD FS-eind punt voor meta gegevens dat is verschaft voor AD FS-integratieAD FS metadata endpoint provided for AD FS integration TCP 443TCP 443 Open bare VIP-/27Public VIP - /27 Optioneel.Optional. De vertrouwens relatie van de AD FS claim provider kan worden gemaakt met behulp van een META gegevensbestand.The AD FS claims provider trust can be created using a metadata file.
Diagnostische logboek verzamelingDiagnostic log collection
Hiermee kan Azure Stack hub logboeken proactief of hand matig door een operator naar micro soft ondersteuning verzenden.Allows Azure Stack Hub to send logs either proactively or manually by an operator to Microsoft support.
https://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPS 443HTTPS 443 Open bare VIP-/27Public VIP - /27 Niet vereist.Not required. U kunt Logboeken lokaal opslaan.You can save logs locally.

Uitgaande Url's worden gelijkmatig verdeeld met behulp van Azure Traffic Manager om de best mogelijke connectiviteit te bieden op basis van de geografische locatie.Outbound URLs are load balanced using Azure traffic manager to provide the best possible connectivity based on geographic location. Met Url's met gelijke taak verdeling kan micro soft back-end-eind punten bijwerken en wijzigen zonder dat dit van invloed is op klanten.With load balanced URLs, Microsoft can update and change backend endpoints without affecting customers. Micro soft deelt de lijst met IP-adressen voor de Url's met gelijke taak verdeling niet.Microsoft doesn't share the list of IP addresses for the load balanced URLs. Gebruik een apparaat dat filteren op URL in plaats van IP ondersteunt.Use a device that supports filtering by URL rather than by IP.

Uitgaande DNS is te allen tijde vereist; wat varieert, is de bron die query's uitvoert op de externe DNS en welk type identiteits integratie is gekozen.Outbound DNS is required at all times; what varies is the source querying the external DNS and what type of identity integration was chosen. Tijdens de implementatie van een verbonden scenario heeft de DVM die zich op het BMC-netwerk bevindt, uitgaande toegang nodig.During deployment for a connected scenario, the DVM that sits on the BMC network needs outbound access. Maar na de implementatie wordt de DNS-service verplaatst naar een intern onderdeel dat query's verzendt via een open bare VIP.But after deployment, the DNS service moves to an internal component that will send queries through a Public VIP. Op dat moment kan de uitgaande DNS-toegang via het BMC-netwerk worden verwijderd, maar de open bare VIP-toegang tot de DNS-server moet blijven of anders kan de verificatie niet worden uitgevoerd.At that time, the outbound DNS access through the BMC network can be removed, but the Public VIP access to that DNS server must remain or else authentication will fail.

Volgende stappenNext steps

PKI-vereisten voor Azure Stack hubAzure Stack Hub PKI requirements