Azure Stack hub robuuste netwerk integratieAzure Stack Hub ruggedized network integration

In dit onderwerp worden Azure Stack netwerk integratie besproken.This topic covers Azure Stack network integration.

De planning van netwerk integratie is een belang rijke vereiste voor een geslaagde Azure Stack geïntegreerde systemen implementatie,-bewerking en-beheer.Network integration planning is an important prerequisite for successful Azure Stack integrated systems deployment, operation, and management. Het plannen van de rand van de verbinding wordt gestart door te kiezen of u dynamische route ring met Border Gateway Protocol (BGP) wilt gebruiken.Border connectivity planning begins by choosing if you want use dynamic routing with border gateway protocol (BGP). Hiervoor moet u een 16-bits BGP autonoom systeem nummer (openbaar of privé) toewijzen of statische route ring gebruiken, waarbij een statische standaard route wordt toegewezen aan de rand apparaten.This requires assigning a 16-bit BGP autonomous system number (public or private) or using static routing, where a static default route is assigned to the border devices.

Voor de top of rack-switches zijn laag-3-uplinks vereist met Point-to-Point Ip's (/30 netwerken) geconfigureerd op de fysieke interfaces.The top of rack (TOR) switches require Layer 3 uplinks with Point-to-Point IPs (/30 networks) configured on the physical interfaces. Laag 2-uplinks met TOR-switches die Azure Stack bewerkingen ondersteunen, wordt niet ondersteund.Layer 2 uplinks with TOR switches supporting Azure Stack operations isn't supported.

BGP-route ringBGP routing

Het gebruik van een dynamisch routerings protocol zoals BGP garandeert dat uw systeem altijd op de hoogte is van netwerk wijzigingen en het beheer vereenvoudigt.Using a dynamic routing protocol like BGP guarantees that your system is always aware of network changes and facilitates administration. Voor een betere beveiliging kan een wacht woord worden ingesteld voor de BGP-peering tussen de TOR en de rand.For enhanced security, a password may be set on the BGP peering between the TOR and the Border.

Zoals in het volgende diagram wordt weer gegeven, wordt reclame van de privé-IP-ruimte op de TOR-switch geblokkeerd met behulp van een lijst met voor voegsels.As shown in the following diagram, advertising of the private IP space on the TOR switch is blocked using a prefix-list. De lijst met voor voegsels weigert de advertentie van het particuliere netwerk en wordt toegepast als een route kaart op de verbinding tussen de TOR en de rand.The prefix list denies the advertisement of the Private Network and it's applied as a route-map on the connection between the TOR and the border.

De software Load Balancer (SLB) die wordt uitgevoerd in de Azure Stack oplossing peers naar de TOR-apparaten, zodat de VIP-adressen dynamisch kunnen worden geadverteerd.The Software Load Balancer (SLB) running inside the Azure Stack solution peers to the TOR devices so it can dynamically advertise the VIP addresses.

Om ervoor te zorgen dat gebruikers verkeer onmiddellijk en transparant herstelt van fouten, staat de VPC-of MLAG die is geconfigureerd tussen de TOR-apparaten toe dat het gebruik van multi-chassis koppelings aggregatie wordt gebruikt voor de hosts en HSRP of VRRP die netwerk redundantie bieden voor de IP-netwerken.To ensure that user traffic immediately and transparently recovers from failure, the VPC or MLAG configured between the TOR devices allows the use of multi-chassis link aggregation to the hosts and HSRP or VRRP that provides network redundancy for the IP networks.

Statische route ringStatic routing

Statische route ring vereist aanvullende configuratie voor de rand apparaten.Static routing requires additional configuration to the border devices. Het vereist meer hand matige tussen komst en beheer, evenals een grondige analyse voor elke wijziging.It requires more manual intervention and management as well as thorough analysis before any change. Problemen die worden veroorzaakt door een configuratie fout, kunnen meer tijd in beslag nemen, afhankelijk van de wijzigingen die zijn aangebracht.Issues caused by a configuration error may take more time to rollback depending on the changes made. Deze routerings methode wordt niet aanbevolen, maar wordt wel ondersteund.This routing method isn't recommended, but it's supported.

Als u Azure Stack in uw netwerk omgeving wilt integreren met behulp van statische route ring, moeten alle vier de fysieke koppelingen tussen de rand en het TOR-apparaat zijn verbonden.To integrate Azure Stack into your networking environment using static routing, all four physical links between the border and the TOR device must be connected. Hoge Beschik baarheid kan niet worden gegarandeerd vanwege de werking van statische route ring.High availability can't be guaranteed because of how static routing works.

Het rand apparaat moet worden geconfigureerd met statische routes die verwijzen naar elk van de vier P2P-Ip's die zijn ingesteld tussen de TOR en de rand voor verkeer dat is bestemd voor een netwerk in Azure Stack, maar alleen het externe of open bare VIP-netwerk is vereist voor de bewerking.The border device must be configured with static routes pointing to each one of the four P2P IPs set between the TOR and the Border for traffic destined to any network inside Azure Stack, but only the External or Public VIP network is required for operation. Statische routes naar de bmc en de externe netwerken zijn vereist voor de eerste implementatie.Static routes to the BMC and the External networks are required for initial deployment. Opera tors kunnen ervoor kiezen om statische routes in de rand te laten staan voor toegang tot beheer bronnen die zich op de bmc en het infrastructuur netwerk bevinden.Operators can choose to leave static routes in the border to access management resources that reside on the BMC and the Infrastructure network. Het toevoegen van statische routes aan switch-netwerken voor infra structuur en Switch beheer is optioneel.Adding static routes to switch infrastructure and switch management networks is optional.

De TOR-apparaten worden geconfigureerd met een statische standaard route waarbij al het verkeer naar de rand apparaten wordt verzonden.The TOR devices are configured with a static default route sending all traffic to the border devices. De enige uitzonde ring van het verkeer naar de standaard regel is voor de persoonlijke ruimte, die wordt geblokkeerd met behulp van een Access Control lijst die is toegepast op de TOR to Border-verbinding.The one traffic exception to the default rule is for the private space, which is blocked using an Access Control List applied on the TOR to border connection.

Statische route ring geldt alleen voor de uplinks tussen de TOR-en Border-switches.Static routing applies only to the uplinks between the TOR and border switches. BGP dynamic routing wordt in het rek gebruikt omdat het een essentieel hulp programma voor de SLB en andere onderdelen is en niet kan worden uitgeschakeld of verwijderd.BGP dynamic routing is used inside the rack because it's an essential tool for the SLB and other components and can't be disabled or removed.

* Het BMC-netwerk is optioneel na de implementatie.* The BMC network is optional after deployment.

** Het netwerk switch infrastructuur is optioneel, omdat het hele netwerk kan worden opgenomen in het switch-beheer netwerk.** The Switch Infrastructure network is optional, as the whole network can be included in the Switch Management network.

*** Het netwerk switch beheer is vereist en kan los van het netwerk van de switch infrastructuur worden toegevoegd.*** The Switch Management network is required and can be added separately from the Switch Infrastructure network.

Transparante proxyTransparent proxy

Als uw Data Center al het verkeer voor het gebruik van een proxy vereist, moet u een transparante proxy configureren om al het verkeer van het rek te verwerken, zodat het kan worden afgehandeld op basis van het beleid, waarbij het verkeer tussen de zones in uw netwerk wordt gescheiden.If your datacenter requires all traffic to use a proxy, you must configure a transparent proxy to process all traffic from the rack to handle it according to policy, separating traffic between the zones on your network.

De Azure Stack oplossing biedt geen ondersteuning voor normale web-proxy'sThe Azure Stack solution doesn't support normal web proxies

Een transparante proxy (ook wel een onderscheppen, inline of geforceerde proxy genoemd) onderschept normale communicatie in de netwerklaag zonder dat hiervoor speciale client configuratie is vereist.A transparent proxy (also known as an intercepting, inline, or forced proxy) intercepts normal communication at the network layer without requiring any special client configuration. Clients hoeven niet op de hoogte te zijn van de aanwezigheid van de proxy.Clients don't need to be aware of the existence of the proxy.

SSL-verkeers interceptie wordt niet ondersteund en kan leiden tot service fouten bij het openen van eind punten.SSL traffic interception is not supported and can lead to service failures when accessing endpoints. De Maxi maal ondersteunde time-out voor communicatie met de vereiste eind punten voor de identiteit is 60s met 3 nieuwe pogingen.The maximum supported timeout to communicate with endpoints required for identity is 60s with 3 retry attempts.

DNSDNS

In deze sectie wordt de configuratie van Domain Name System (DNS) behandeld.This section covers Domain Name System (DNS) configuration.

Het door sturen van voorwaardelijke DNS configurerenConfigure conditional DNS forwarding

Dit is alleen van toepassing op een AD FS-implementatie.This only applies to an AD FS deployment.

Configureer voorwaardelijk door sturen om naam omzetting met uw bestaande DNS-infra structuur in te scha kelen.To enable name resolution with your existing DNS infrastructure, configure conditional forwarding.

Als u een voorwaardelijke doorstuur server wilt toevoegen, moet u het bevoegde eind punt gebruiken.To add a conditional forwarder, you must use the privileged endpoint.

Voor deze procedure gebruikt u een computer in uw Data Center-netwerk die kan communiceren met het bevoegde eind punt in Azure Stack.For this procedure, use a computer in your datacenter network that can communicate with the privileged endpoint in Azure Stack.

  1. Open een Windows Power shell-sessie met verhoogde bevoegdheden (als administrator uitvoeren) en maak verbinding met het IP-adres van het bevoegde eind punt.Open an elevated Windows PowerShell session (run as administrator), and connect to the IP address of the privileged endpoint. Gebruik de referenties voor CloudAdmin-verificatie.Use the credentials for CloudAdmin authentication.

    \$cred=Get-Credential Enter-PSSession -ComputerName \<IP Address of ERCS\> -ConfigurationName PrivilegedEndpoint -Credential \$cred 
    
  2. Nadat u verbinding hebt gemaakt met het bevoegde eind punt, voert u de volgende Power shell-opdracht uit.After you connect to the privileged endpoint, run the following PowerShell command. Vervang de voorbeeld waarden door de domein naam en IP-adressen van de DNS-servers die u wilt gebruiken.Substitute the sample values provided with your domain name and IP addresses of the DNS servers you want to use.

    Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2" 
    

Azure Stack DNS-namen van buiten Azure Stack omzettenResolving Azure Stack DNS names from outside Azure Stack

De gezaghebbende servers zijn degene die de gegevens van de externe DNS-zone en alle door de gebruiker gemaakte zones bevatten.The authoritative servers are the ones that hold the external DNS zone information, and any user-created zones. Integreer met deze servers om zone overdracht of voorwaardelijk door sturen in te scha kelen om Azure Stack DNS-namen van buiten Azure Stack om te zetten.Integrate with these servers to enable zone delegation or conditional forwarding to resolve Azure Stack DNS names from outside Azure Stack.

Externe eindpunt gegevens van de DNS-server ophalenGet DNS Server external endpoint information

Als u uw Azure Stack-implementatie wilt integreren met uw DNS-infra structuur, hebt u de volgende informatie nodig:To integrate your Azure Stack deployment with your DNS infrastructure, you need the following information:

  • FQDN-naam van de DNS-serverDNS server FQDNs

  • IP-adressen van DNS-serverDNS server IP addresses

De FQDN voor de Azure Stack DNS-servers hebben de volgende indeling:The FQDNs for the Azure Stack DNS servers have the following format:

<NAMINGPREFIX>-ns01. <REGION> .<EXTERNALDOMAINNAME><NAMINGPREFIX>-ns01.<REGION>.<EXTERNALDOMAINNAME>

<NAMINGPREFIX>-ns02. <REGION> .<EXTERNALDOMAINNAME><NAMINGPREFIX>-ns02.<REGION>.<EXTERNALDOMAINNAME>

Met behulp van de voorbeeld waarden zijn de FQDN-gegevens voor de DNS-servers:Using the sample values, the FQDNs for the DNS servers are:

azs-ns01.east.cloud.fabrikam.comazs-ns01.east.cloud.fabrikam.com

azs-ns02.east.cloud.fabrikam.comazs-ns02.east.cloud.fabrikam.com

Deze informatie is beschikbaar in de beheer Portal, maar wordt ook gemaakt aan het einde van alle Azure Stack implementaties in een bestand met de naam AzureStackStampInformation.jsop.This information is available in the admin portal but also created at the end of all Azure Stack deployments in a file named AzureStackStampInformation.json. Dit bestand bevindt zich in de \ map C: CloudDeployment \ logs van de virtuele machine voor implementatie.This file is located in the C:\CloudDeployment\logs folder of the Deployment virtual machine. Als u niet zeker weet welke waarden zijn gebruikt voor uw Azure Stack-implementatie, kunt u de waarden hier ophalen.If you're not sure what values were used for your Azure Stack deployment, you can get the values from here.

Als de virtuele machine van de implementatie niet langer beschikbaar is of niet toegankelijk is, kunt u de waarden verkrijgen door verbinding te maken met het bevoegde eind punt en de Get-AzureStackStampInformation Power shell-cmdlet uit te voeren.If the Deployment virtual machine is no longer available or is inaccessible, you can obtain the values by connecting to the privileged endpoint and running the Get-AzureStackStampInformation PowerShell cmdlet. Zie privileged endpoint voor meer informatie.For more information, see privileged endpoint.

Instellen van voorwaardelijk doorsturen naar Azure StackSetting up conditional forwarding to Azure Stack

De eenvoudigste en veiligste manier om Azure Stack te integreren met uw DNS-infra structuur is het uitvoeren van voorwaardelijke door sturing van de zone van de server die als host fungeert voor de bovenliggende zone.The simplest and most secure way to integrate Azure Stack with your DNS infrastructure is to do conditional forwarding of the zone from the server that hosts the parent zone. Deze methode wordt aanbevolen als u directe controle hebt over de DNS-servers die als host fungeren voor de bovenliggende zone voor uw Azure Stack externe DNS-naam ruimte.This approach is recommended if you have direct control over the DNS servers that host the parent zone for your Azure Stack external DNS namespace.

Als u niet bekend bent met het uitvoeren van voorwaardelijke door sturen met DNS, raadpleegt u het volgende TechNet-artikel: een voorwaardelijke doorstuur server toewijzen voor een domein naam of de documentatie die specifiek is voor uw DNS-oplossing.If you're not familiar with how to do conditional forwarding with DNS, see the following TechNet article: Assign a Conditional Forwarder for a Domain Name, or the documentation specific to your DNS solution.

In scenario's waarin u uw externe Azure Stack DNS-zone hebt opgegeven om te zien als een onderliggend domein van de naam van uw bedrijfs domein, kan voorwaardelijk door sturen niet worden gebruikt.In scenarios where you specified your external Azure Stack DNS Zone to look like a child domain of your corporate domain name, conditional forwarding can't be used. DNS-delegering moet worden geconfigureerd.DNS delegation must be configured.

Voorbeeld:Example:

  • Naam van het bedrijfs-DNS-domein: contoso.comCorporate DNS Domain Name: contoso.com

  • Azure Stack externe DNS-domein naam: azurestack.contoso.comAzure Stack External DNS Domain Name: azurestack.contoso.com

Ip's voor DNS-doorstuur servers bewerkenEditing DNS Forwarder IPs

Ip's van de DNS-doorstuur server worden ingesteld tijdens de implementatie van Azure Stack.DNS Forwarder IPs are set during deployment of Azure Stack. Als de doorstuur server-Ip's echter om een of andere reden moeten worden bijgewerkt, kunt u de waarden bewerken door verbinding te maken met het bevoegde eind punt en de Get-AzSDnsForwarder en Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]> ] Power shell-cmdlets uit te voeren.However, if the Forwarder IPs need to be updated for any reason, you can edit the values by connecting to the privileged endpoint and running the Get-AzSDnsForwarder and Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>] PowerShell cmdlets. Zie privileged endpoint voor meer informatie.For more information, see privileged endpoint.

De externe DNS-zone naar Azure Stack delegerenDelegating the external DNS zone to Azure Stack

Voor DNS-namen die kunnen worden omgezet van buiten een Azure Stack-implementatie, moet u DNS-delegering instellen.For DNS names to be resolvable from outside an Azure Stack deployment, you need to set up DNS delegation.

Elke registrar heeft zijn eigen hulpprogramma's voor DNS-beheer om de naamserverrecords voor een domein te wijzigen.Each registrar has their own DNS management tools to change the name server records for a domain. Bewerk op de pagina DNS-beheer van het registratie domein de NS-records en vervang de NS-records voor de zone door deze in Azure Stack.In the registrar's DNS management page, edit the NS records and replace the NS records for the zone with the ones in Azure Stack.

Voor de meeste DNS-registraties moet u Mini maal twee DNS-servers opgeven om de overdracht te volt ooien.Most DNS registrars require you to provide a minimum of two DNS servers to complete the delegation.

FirewallFirewall

Azure Stack worden virtuele IP-adressen (Vip's) ingesteld voor de infrastructuur rollen.Azure Stack sets up virtual IP addresses (VIPs) for its infrastructure roles. Deze Vip's worden toegewezen vanuit de open bare IP-adres groep.These VIPs are allocated from the public IP address pool. Elke VIP wordt beveiligd met een toegangs beheer lijst (ACL) in de door de software gedefinieerde netwerklaag.Each VIP is secured with an access control list (ACL) in the software-defined network layer. Acl's worden ook gebruikt in de fysieke switches (TORs en BMC) om de oplossing verder te beveiligen.ACLs are also used across the physical switches (TORs and BMC) to further harden the solution. Er wordt een DNS-vermelding gemaakt voor elk eind punt in de externe DNS-zone die tijdens de implementatie is opgegeven.A DNS entry is created for each endpoint in the external DNS zone that's specified at deployment time. De gebruikers portal wordt bijvoorbeeld toegewezen aan de DNS-host-invoer van de portal. <region>.<fqdn>.For example, the user portal is assigned the DNS host entry of portal.<region>.<fqdn>.

In het volgende architecturale diagram worden de verschillende netwerk lagen en Acl's weer gegeven:The following architectural diagram shows the different network layers and ACLs:

in het architectuur diagram worden de verschillende netwerk lagen en Acl's weer gegeven

Poorten en Url'sPorts and URLs

Als u Azure Stack Services wilt maken (zoals de portals, Azure Resource Manager, DNS, enzovoort) die beschikbaar zijn voor externe netwerken, moet u inkomend verkeer naar deze eind punten toestaan voor specifieke Url's, poorten en protocollen.To make Azure Stack services (like the portals, Azure Resource Manager, DNS, and so on) available to external networks, you must allow inbound traffic to these endpoints for specific URLs, ports, and protocols.

In een implementatie waarbij een transparante proxy-koppeling naar een traditionele proxy server of een firewall de oplossing beveiligt, moet u specifieke poorten en Url's voor zowel binnenkomende als uitgaande communicatie toestaan.In a deployment where a transparent proxy uplinks to a traditional proxy server or a firewall is protecting the solution, you must allow specific ports and URLs for both inbound and outbound communication. Dit zijn onder andere poorten en Url's voor identiteiten, de Marketplace, patch-en update-, registratie-en gebruiks gegevens.These include ports and URLs for identity, the marketplace, patch and update, registration, and usage data.

Uitgaande communicatieOutbound communication

Azure Stack ondersteunt alleen transparante proxy servers.Azure Stack supports only transparent proxy servers. In een implementatie met een transparante proxy-uplink naar een traditionele proxy server moet u de poorten en Url's in de volgende tabel toestaan voor uitgaande communicatie wanneer deze in de modus Connected wordt geïmplementeerd.In a deployment with a transparent proxy uplink to a traditional proxy server, you must allow the ports and URLs in the following table for outbound communication when deploying in connected mode.

SSL-verkeers interceptie wordt niet ondersteund en kan leiden tot service fouten bij het openen van eind punten.SSL traffic interception is not supported and can lead to service failures when accessing endpoints. De Maxi maal ondersteunde time-out voor communicatie met de vereiste eind punten voor de identiteit is 60s.The maximum supported timeout to communicate with endpoints required for identity is 60s.

Notitie

Azure Stack biedt geen ondersteuning voor het gebruik van ExpressRoute om de Azure-Services te bereiken die worden vermeld in de volgende tabel, omdat ExpressRoute mogelijk geen verkeer kan door sturen naar alle eind punten.Azure Stack doesn’t support using ExpressRoute to reach the Azure services listed in the following table because ExpressRoute may not be able to route traffic to all of the endpoints.

DoelPurpose Doel-URLDestination URL ProtocolProtocol PoortenPorts Bron netwerkSource Network
IdentiteitIdentity AzureAzure
login.windows.netlogin.windows.net
login.microsoftonline.comlogin.microsoftonline.com
graph.windows.netgraph.windows.net
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
www.office.comwww.office.com
ManagementServiceUri = https: / /Management.core.Windows.netManagementServiceUri = https://management.core.windows.net
ARMUri = https: / /Management.Azure.comARMUri = https://management.azure.com
https: / / * . msftauth.nethttps://*.msftauth.net
https: / / * . msauth.nethttps://*.msauth.net
https: / / * . msocdn.comhttps://*.msocdn.com
Azure GovernmentAzure Government
https: / /login.microsoftonline.us/https://login.microsoftonline.us/
https: / /Graph.Windows.net/https://graph.windows.net/
Azure China 21VianetAzure China 21Vianet
https: / /login.chinacloudapi.cn/https://login.chinacloudapi.cn/
https: / /Graph.chinacloudapi.cn/https://graph.chinacloudapi.cn/
Azure DuitslandAzure Germany
https: / /login.microsoftonline.de/https://login.microsoftonline.de/
https: / /Graph.cloudapi.de/https://graph.cloudapi.de/
HTTPHTTP
HTTPSHTTPS
8080
443443
Open bare VIP-/27Public VIP - /27
Openbaar infrastructuur netwerkPublic infrastructure Network
Marketplace-syndicatieMarketplace syndication AzureAzure
https://management.azure.comhttps://management.azure.com
https://*. blob.core.windows.nethttps://*.blob.core.windows.net
https://*. azureedge.nethttps://*.azureedge.net
Azure GovernmentAzure Government
https: / /Management.usgovcloudapi.net/https://management.usgovcloudapi.net/
https://*. blob.core.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/
Azure China 21VianetAzure China 21Vianet
https: / /Management.chinacloudapi.cn/https://management.chinacloudapi.cn/
http://*. blob.core.chinacloudapi.cnhttp://*.blob.core.chinacloudapi.cn
HTTPSHTTPS 443443 Open bare VIP-/27Public VIP - /27
Update patch &Patch & Update https://*. azureedge.nethttps://*.azureedge.net
https: / /aka.MS/azurestackautomaticupdatehttps://aka.ms/azurestackautomaticupdate
HTTPSHTTPS 443443 Open bare VIP-/27Public VIP - /27
RegistratieRegistration AzureAzure
https://management.azure.comhttps://management.azure.com
Azure GovernmentAzure Government
https: / /Management.usgovcloudapi.net/https://management.usgovcloudapi.net/
Azure China 21VianetAzure China 21Vianet
https: / /Management.chinacloudapi.cnhttps://management.chinacloudapi.cn
HTTPSHTTPS 443443 Open bare VIP-/27Public VIP - /27
GebruikUsage AzureAzure
https://*. trafficmanager.nethttps://*.trafficmanager.net
Azure GovernmentAzure Government
https://*. usgovtrafficmanager.nethttps://*.usgovtrafficmanager.net
Azure China 21VianetAzure China 21Vianet
https://*. trafficmanager.cnhttps://*.trafficmanager.cn
HTTPSHTTPS 443443 Open bare VIP-/27Public VIP - /27
Windows DefenderWindows Defender *. wdcp.microsoft.com*.wdcp.microsoft.com
*. wdcpalt.microsoft.com*.wdcpalt.microsoft.com
*. wd.microsoft.com*.wd.microsoft.com
*. update.microsoft.com*.update.microsoft.com
*. download.microsoft.com*.download.microsoft.com
https: / /www.Microsoft.com/pkiops/CRLhttps://www.microsoft.com/pkiops/crl
https: / /www.Microsoft.com/pkiops/certshttps://www.microsoft.com/pkiops/certs
https: / /CRL.Microsoft.com/PKI/CRL/Productshttps://crl.microsoft.com/pki/crl/products
https: / /www.Microsoft.com/PKI/certshttps://www.microsoft.com/pki/certs
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
HTTPSHTTPS 8080
443443
Open bare VIP-/27Public VIP - /27
Openbaar infrastructuur netwerkPublic infrastructure Network
NTPNTP (IP van de NTP-server die voor de implementatie is meegeleverd)(IP of NTP server provided for deployment) UDPUDP 123123 Open bare VIP-/27Public VIP - /27
DNSDNS (IP van de DNS-server die voor de implementatie is meegeleverd)(IP of DNS server provided for deployment) TCPTCP
UDPUDP
5353 Open bare VIP-/27Public VIP - /27
CERTIFICAATINTREKKINGSLIJSTCRL (URL onder CRL-distributie punten in uw certificaat)(URL under CRL Distribution Points on your certificate) HTTPHTTP 8080 Open bare VIP-/27Public VIP - /27
LDAPLDAP Active Directory forest voor de integratie van grafiekenActive Directory Forest provided for Graph integration TCPTCP
UDPUDP
389389 Open bare VIP-/27Public VIP - /27
LDAP SSLLDAP SSL Active Directory forest voor de integratie van grafiekenActive Directory Forest provided for Graph integration TCPTCP 636636 Open bare VIP-/27Public VIP - /27
LDAP-GCLDAP GC Active Directory forest voor de integratie van grafiekenActive Directory Forest provided for Graph integration TCPTCP 32683268 Open bare VIP-/27Public VIP - /27
LDAP GC-SSLLDAP GC SSL Active Directory forest voor de integratie van grafiekenActive Directory Forest provided for Graph integration TCPTCP 32693269 Open bare VIP-/27Public VIP - /27
AD FSAD FS AD FS-eind punt voor meta gegevens dat is verschaft voor AD FS-integratieAD FS metadata endpoint provided for AD FS integration TCPTCP 443443 Open bare VIP-/27Public VIP - /27
Diagnostische logboek verzamelings serviceDiagnostic Log collection service URL van de BLOB SAS Azure StorageAzure Storage provided Blob SAS URL HTTPSHTTPS 443443 Open bare VIP-/27Public VIP - /27

Inkomende communicatieInbound communication

Er is een set infrastructuur Vip's vereist voor het publiceren van Azure Stack-eind punten naar externe netwerken.A set of infrastructure VIPs is required for publishing Azure Stack endpoints to external networks. In de tabel endpoint (VIP) worden elk eind punt, de vereiste poort en het protocol weer gegeven.The Endpoint (VIP) table shows each endpoint, the required port, and protocol. Raadpleeg de specifieke implementatie documentatie voor de resource provider voor eind punten waarvoor extra resource providers zijn vereist, zoals de SQL-resource provider.Refer to the specific resource provider deployment documentation for endpoints that require additional resource providers, like the SQL resource provider.

Interne infrastructuur Vip's worden niet weer gegeven omdat deze niet vereist zijn voor het publiceren van Azure Stack.Internal infrastructure VIPs aren't listed because they're not required for publishing Azure Stack. Gebruikers Vip's zijn dynamisch en worden gedefinieerd door de gebruikers zelf, zonder controle door de Azure Stack operatorUser VIPs are dynamic and defined by the users themselves, with no control by the Azure Stack operator

Notitie

IKEv2 VPN is een op standaarden gebaseerde IPsec VPN-oplossing die gebruikmaakt van UDP-poort 500 en 4500 en TCP-poort 50.IKEv2 VPN is a standards-based IPsec VPN solution that uses UDP port 500 and 4500 and TCP port 50. Firewalls openen niet altijd deze poorten, zodat een IKEv2 VPN mogelijk geen proxy's en firewalls kan passeren.Firewalls don’t always open these ports, so an IKEv2 VPN might not be able to traverse proxies and firewalls.

Eind punt (VIP)Endpoint (VIP) DNS host A-recordDNS host A record ProtocolProtocol PoortenPorts
AD FSAD FS ADFS. < regio>. < FQDN->Adfs.<region>.<fqdn> HTTPSHTTPS 443443
Portal (beheerder)Portal (administrator) Adminportal. < regio>. < FQDN->Adminportal.<region>.<fqdn> HTTPSHTTPS 443443
AdminhostingAdminhosting *. adminhosting. <region> .<fqdn>*.adminhosting.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (beheerder)Azure Resource Manager (administrator) Adminmanagement. < regio>. < FQDN->Adminmanagement.<region>.<fqdn> HTTPSHTTPS 443443
Portal (gebruiker)Portal (user) Portal. < regio>. < FQDN->Portal.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (gebruiker)Azure Resource Manager (user) CRM. < regio>. < FQDN->Management.<region>.<fqdn> HTTPSHTTPS 443443
GraphGraph Graph. < regio>. < FQDN->Graph.<region>.<fqdn> HTTPSHTTPS 443443
CertificaatintrekkingslijstCertificate revocation list CRL.< region->. < FQDN->Crl.<region>.<fqdn> HTTPHTTP 8080
DNSDNS *. < regio>. < FQDN->*.<region>.<fqdn> TCP-& UDPTCP & UDP 5353
HostingHosting *. hosten. <region> ..<fqdn>*.hosting.<region>.<fqdn> HTTPSHTTPS 443443
Key Vault (gebruiker)Key Vault (user) *. kluis. < regio>. < FQDN->*.vault.<region>.<fqdn> HTTPSHTTPS 443443
Key Vault (beheerder)Key Vault (administrator) *. adminvault. < regio>. < FQDN->*.adminvault.<region>.<fqdn> HTTPSHTTPS 443443
OpslagwachtrijStorage Queue *. Queue. < regio>. < FQDN->*.queue.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Opslag tabelStorage Table *. table. < regio>. < FQDN->*.table.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Storage BlobStorage Blob *. blob. < regio>. < FQDN->*.blob.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
SQL-resource providerSQL Resource Provider sqladapter.dbadapter. < regio>. < FQDN->sqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
MySQL-resource providerMySQL Resource Provider mysqladapter.dbadapter. < regio>. < FQDN->mysqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
App ServiceApp Service *. appservice. < regio>. < FQDN->*.appservice.<region>.<fqdn> TCPTCP 80 (HTTP)80 (HTTP)
443 (HTTPS)443 (HTTPS)
8172 (MSDeploy)8172 (MSDeploy)
*. scm. appservice. < regio>. < FQDN->*.scm.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
API. appservice. < regio>. < FQDN->api.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
44300 (Azure Resource Manager)44300 (Azure Resource Manager)
FTP. appservice. < regio>. < FQDN->ftp.appservice.<region>.<fqdn> TCP, UDPTCP, UDP 21, 1021, 10001-10100 (FTP)21, 1021, 10001-10100 (FTP)
990 (FTPS)990 (FTPS)
VPN-gatewaysVPN Gateways Raadpleeg de veelgestelde vragen over de VPN-gateway.See the VPN gateway FAQ.