Publikowanie Azure Stack Hub danych w centrum danych — Modular Data Center (MDC)

Azure Stack Hub konfiguruje wirtualne adresy IP (VIP) dla ról infrastruktury. Te adresy VIP są przydzielane z puli publicznych adresów IP. Każdy adres VIP jest zabezpieczony za pomocą listy kontroli dostępu (ACL) w warstwie sieci zdefiniowanej programowo. W celu dalszego wzmacniania rozwiązania są również używane między przełącznikami fizycznymi (tors i BMC). Wpis DNS jest tworzony dla każdego punktu końcowego w zewnętrznej strefie DNS określonej w czasie wdrażania. Na przykład portal użytkowników ma przypisany wpis hosta DNS portalu. < region>. < fqdn>.

Na poniższym diagramie architektury przedstawiono różne warstwy sieci i ACL:

Diagram przedstawiający różne warstwy sieci i adresy ACL

Porty i adresy URL

Aby usługi Azure Stack Hub (takie jak portale, Azure Resource Manager, DNS itp.) były dostępne dla sieci zewnętrznych, należy zezwolić na ruch przychodzący do tych punktów końcowych dla określonych adresów URL, portów i protokołów.

W przypadku wdrożenia, w którym rozwiązanie chroni przezroczysty serwer proxy z tradycyjnym serwerem proxy lub zaporą, należy zezwolić na określone porty i adresy URL dla komunikacji przychodzącej i wychodzącej. Obejmują one porty i adresy URL dotyczące tożsamości, platformy handlowej, poprawek i aktualizacji, rejestracji i danych użycia.

Przechwytywanie ruchu SSL nie jest obsługiwane i może prowadzić do błędów usługi podczas uzyskiwania dostępu do punktów końcowych.

Porty i protokoły (przychodzące)

Do publikowania punktów końcowych w sieciach zewnętrznych jest wymagany Azure Stack Hub infrastruktury VIP. Tabela Punkt końcowy (VIP) zawiera każdy punkt końcowy, wymagany port i protokół. Zapoznaj się z dokumentacją wdrażania określonego dostawcy zasobów dla punktów końcowych, które wymagają dodatkowych dostawców zasobów, takich jak dostawca zasobów SQL.

Nie ma na liście vipów infrastruktury wewnętrznej, ponieważ nie są one wymagane do publikowania Azure Stack Hub. Vip użytkowników są dynamiczne i zdefiniowane przez samych użytkowników, bez kontroli Azure Stack Hub operatora.

Uwaga

IKEv2 VPN to oparte na standardach rozwiązanie sieci VPN IPsec, które używa portów UDP 500 i 4500 oraz portu TCP 50. Zapory nie zawsze otwierają te porty, więc sieć VPN ZKEv2 może nie być w stanie przechodzić przez serwery proxy i zapory.

Po dodatku hosta rozszerzeńporty z zakresu od 12495 do 30015 nie są wymagane.

Punkt końcowy (VIP) Rekord A hosta DNS Protokół Porty
AD FS Programu adfs. < region>. < fqdn> HTTPS 443
Portal (administrator) Administratorportal. < region>. < fqdn> HTTPS 443
Hostowanie administracyjne *.adminhosting. <region> .<fqdn> HTTPS 443
Azure Resource Manager (administrator) Administracja. < region>. < fqdn> HTTPS 443
Portal (użytkownik) Portal. < region>. < fqdn> HTTPS 443
Azure Resource Manager (użytkownik) Zarządzania. < region>. < fqdn> HTTPS 443
Graph Wykres. < region>. < fqdn> HTTPS 443
Lista odwołania certyfikatów Crl.< region>. < fqdn> HTTP 80
DNS *. < region>. < fqdn> TCP & UDP 53
Hosting *.hosting. <region> .<fqdn> HTTPS 443
Key Vault (użytkownik) *.vault. < region>. < fqdn> HTTPS 443
Key Vault (administrator) *.adminvault. < region>. < fqdn> HTTPS 443
Kolejka magazynu *.queue. < region>. < fqdn> HTTP
HTTPS
80
443
Tabela magazynu *.table. < region>. < fqdn> HTTP
HTTPS
80
443
Storage Blob *.blob. < region>. < fqdn> HTTP
HTTPS
80
443
Dostawca zasobów SQL sqladapter.dbadapter. < region>. < fqdn> HTTPS 44300-44304
Dostawca zasobów MySQL mysqladapter.dbadapter. < region>. < fqdn> HTTPS 44300-44304
App Service *.appservice. < region>. < fqdn> TCP 80 (HTTP)
443 (HTTPS)
8172 (MSDeploy)
*.scm.appservice. < region>. < fqdn> TCP 443 (HTTPS)
api.appservice. < region>. < fqdn> TCP 443 (HTTPS)
44300 (Azure Resource Manager)
ftp.appservice. < region>. < fqdn> TCP, UDP 21, 1021, 10001-10100 (FTP)
990 (FTPS)
Bramy sieci VPN Zobacz Brama sieci VPN — często zadawane pytania.

Porty i adresy URL (ruch wychodzący)

Azure Stack Hub obsługuje tylko przezroczyste serwery proxy. We wdrożeniu z przezroczystym linkiem serwera proxy do tradycyjnego serwera proxy należy zezwolić na komunikację wychodzącą przy użyciu portów i adresów URL z poniższej tabeli. Aby uzyskać więcej informacji na temat konfigurowania przezroczystych serwerów proxy, zobacz [Transparent proxy for Azure Stack Hub]((.. /.. /operator/azure-stack-transparent-proxy.md).

Przechwytywanie ruchu SSL nie jest obsługiwane i może prowadzić do błędów usługi podczas uzyskiwania dostępu do punktów końcowych. Maksymalny obsługiwany limit czasu komunikacji z punktami końcowymi wymaganymi dla tożsamości to 60 s.

Uwaga

Azure Stack Hub nie obsługuje korzystania z usługi ExpressRoute w celu dotarcia do usług platformy Azure wymienionych w poniższej tabeli, ponieważ usługa ExpressRoute może nie być w stanie przekierowyć ruchu do wszystkich punktów końcowych.

Przeznaczenie Docelowy adres URL Protokół/porty Sieć źródłową Wymaganie
Tożsamość
Umożliwia Azure Stack Hub z usługą Azure Active Directory na & uwierzytelniania usługi User & Service.
Azure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure Government
https://login.microsoftonline.us/
https://graph.windows.net/
Azure (Niemcy)
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP 80,
HTTPS 443
Publiczny adres VIP — /27
Sieć infrastruktury publicznej
Obowiązkowy dla połączonego wdrożenia.
Syndykacja witryny Marketplace
Umożliwia pobieranie elementów w celu Azure Stack Hub z witryny Marketplace i ich udostępnić wszystkim użytkownikom przy użyciu Azure Stack Hub handlowego.
Azure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure Government
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
HTTPS 443 Publiczny adres VIP — /27 Niewymagane. Użyj instrukcji odłączonego scenariusza, aby przekazać obrazy do Azure Stack Hub.
Aktualizacja & poprawek
Po na połączeniu z punktami końcowymi aktualizacji Azure Stack Hub aktualizacje oprogramowania i poprawki są wyświetlane jako dostępne do pobrania.
https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 Publiczny adres VIP — /27 Niewymagane. Użyj instrukcji odłączonego połączenia wdrożenia, aby ręcznie pobrać i przygotować aktualizację.
Rejestracja
Umożliwia zarejestrowanie Azure Stack Hub na platformie Azure w celu pobrania elementów Azure Marketplace i skonfigurowania raportowania danych handlowych z powrotem do firmy Microsoft.
Azure
https://management.azure.com
Azure Government
https://management.usgovcloudapi.net/
HTTPS 443 Publiczny adres VIP — /27 Niewymagane. Scenariusz rozłączenia umożliwia rejestrację w trybie offline.
Użycie
Umożliwia operatorom Azure Stack Hub skonfigurowanie wystąpienia Azure Stack Hub do zgłaszania danych użycia na platformie Azure.
Azure
https://*.trafficmanager.net
Azure Government
https://*.usgovtrafficmanager.net
HTTPS 443 Publiczny adres VIP — /27 Wymagane w przypadku Azure Stack Hub licencjonowania opartego na zużyciu.
Windows Defender
Umożliwia dostawcy zasobów aktualizacji pobieranie definicji ochrony przed złośliwym oprogramowaniem i aktualizacji aparatu wiele razy dziennie.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.com
HTTPS 80, 443 Publiczny adres VIP — /27
Sieć infrastruktury publicznej
Niewymagane. W scenariuszu bez połączenia można zaktualizować pliki sygnatur ochrony antywirusowej.
NTP
Umożliwia Azure Stack Hub z serwerami czasu.
(Adres IP serwera NTP podany do wdrożenia) UDP 123 Publiczny adres VIP — /27 Wymagane
DNS
Umożliwia Azure Stack Hub nawiązać połączenie z usługą przesyłania dalej serwera DNS.
(Adres IP serwera DNS podany do wdrożenia) TCP & UDP 53 Publiczny adres VIP — /27 Wymagane
Syslog
Umożliwia Azure Stack Hub wysyłania komunikatów syslog do celów monitorowania lub zabezpieczeń.
(Adres IP serwera SYSLOG podany do wdrożenia) TCP 6514,
UDP 514
Publiczny adres VIP — /27 Opcjonalne
Listy crl
Umożliwia Azure Stack Hub walidować certyfikaty i sprawdzać, czy odwołane certyfikaty są sprawdzane.
(Adres URL w obszarze Punkty dystrybucji listy CRL w certyfikacie)
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTP 80 Publiczny adres VIP — /27 Niewymagane. Zdecydowanie zalecane najlepsze rozwiązanie w zakresie zabezpieczeń.
LDAP
Umożliwia Azure Stack Hub z lokalną usługą Microsoft Active Directory.
Las usługi Active Directory dla integracji z programem Graph Protokół TCP & UDP 389 Publiczny adres VIP — /27 Wymagane, Azure Stack Hub wdrażane przy użyciu AD FS.
LDAP SSL
Umożliwia Azure Stack Hub komunikacji zaszyfrowanej z lokalną usługą Microsoft Active Directory.
Las usługi Active Directory dla integracji z programem Graph TCP 636 Publiczny adres VIP — /27 Wymagane, Azure Stack Hub wdrażane przy użyciu AD FS.
LDAP GC
Umożliwia Azure Stack Hub się z serwerami wykazu globalnego Microsoft Active.
Las usługi Active Directory dla integracji z programem Graph TCP 3268 Publiczny adres VIP — /27 Wymagane, Azure Stack Hub wdrażane przy użyciu AD FS.
LDAP GC SSL
Umożliwia Azure Stack Hub komunikacji zaszyfrowanej z serwerami wykazu globalnego usługi Microsoft Active Directory.
Las usługi Active Directory dla integracji z programem Graph TCP 3269 Publiczny adres VIP — /27 Wymagane podczas Azure Stack Hub wdrażania przy użyciu AD FS.
AD FS
Umożliwia Azure Stack Hub komunikowanie się z lokalnymi AD FS.
AD FS metadanych na AD FS integracji TCP 443 Publiczny adres VIP — /27 Opcjonalny. Relację AD FS dostawcy oświadczeń można utworzyć przy użyciu pliku metadanych.
Zbieranie dzienników diagnostycznych
Umożliwia Azure Stack Hub wysyłanie dzienników proaktywnie lub ręcznie przez operatora do pomocy technicznej firmy Microsoft.
https://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPS 443 Publiczny adres VIP — /27 Niewymagane. Dzienniki można zapisywać lokalnie.

Adresy URL ruchu wychodzącego są równoważyć obciążenie przy użyciu usługi Azure Traffic Manager, aby zapewnić najlepszą możliwą łączność na podstawie lokalizacji geograficznej. Dzięki adresom URL ze zrównoważonym obciążeniem firma Microsoft może aktualizować i zmieniać punkty końcowe zaplecza bez wpływu na klientów. Firma Microsoft nie udostępnia listy adresów IP dla adresów URL ze zrównoważonym obciążeniem. Użyj urządzenia, które obsługuje filtrowanie według adresu URL, a nie adresu IP.

Wychodzący serwer DNS jest wymagany przez cały czas; To, co różni się, to źródło, które odpytuje zewnętrzny serwer DNS i jakiego typu integrację tożsamości wybrano. Podczas wdrażania dla scenariusza połączonego urządzenie DVM, które znajduje się w sieci BMC, musi mieć dostęp wychodzący. Jednak po wdrożeniu usługa DNS przechodzi do wewnętrznego składnika, który będzie wysyłać zapytania za pośrednictwem publicznego adresu VIP. W tym czasie wychodzący dostęp DNS za pośrednictwem sieci BMC można usunąć, ale dostęp publicznych adresów VIP do tego serwera DNS musi pozostać lub w innym przypadku uwierzytelnianie zakończy się niepowodzeniem.

Następne kroki

Azure Stack Hub wymagań dotyczących PKI