Integracja sieci z integracją Azure Stack HubAzure Stack Hub ruggedized network integration

W tym temacie omówiono integrację sieci Azure Stack.This topic covers Azure Stack network integration.

Planowanie integracji sieci jest ważnym warunkiem wstępnym w przypadku pomyślnego Azure Stack wdrożenia zintegrowanego systemu, działania i zarządzania.Network integration planning is an important prerequisite for successful Azure Stack integrated systems deployment, operation, and management. Planowanie łączności obramowania rozpoczyna się od wybrania opcji używania routingu dynamicznego z protokołem BGP (Border Gateway Protocol).Border connectivity planning begins by choosing if you want use dynamic routing with border gateway protocol (BGP). Wymaga to przypisania 16-bitowego numeru systemu autonomicznego protokołu BGP (publicznego lub prywatnego) lub przy użyciu statycznego routingu, gdzie statyczna trasa domyślna jest przypisana do urządzeń obramowań.This requires assigning a 16-bit BGP autonomous system number (public or private) or using static routing, where a static default route is assigned to the border devices.

Przełączniki w górnej części stojaka (TOR) wymagają linków do warstwy 3, które są skonfigurowane w interfejsie IP typu punkt-punkt (/30 sieci).The top of rack (TOR) switches require Layer 3 uplinks with Point-to-Point IPs (/30 networks) configured on the physical interfaces. Linki do warstwy 2 z przełącznikami TOR obsługujących operacje Azure Stack nie są obsługiwane.Layer 2 uplinks with TOR switches supporting Azure Stack operations isn't supported.

Routing BGPBGP routing

Użycie dynamicznego protokołu routingu, takiego jak BGP gwarantuje, że system zawsze wie o zmianach w sieci i ułatwia administrację.Using a dynamic routing protocol like BGP guarantees that your system is always aware of network changes and facilitates administration. W celu zwiększenia bezpieczeństwa można ustawić hasło dla komunikacji równorzędnej BGP między TOR a obramowaniem.For enhanced security, a password may be set on the BGP peering between the TOR and the Border.

Jak pokazano na poniższym diagramie, reklama prywatnego obszaru IP na przełączniku TOR jest blokowana przy użyciu listy prefiksów.As shown in the following diagram, advertising of the private IP space on the TOR switch is blocked using a prefix-list. Lista prefiksów odmówi anonsu sieci prywatnej i jest stosowana jako mapa trasy dla połączenia między TOR a obramowaniem.The prefix list denies the advertisement of the Private Network and it's applied as a route-map on the connection between the TOR and the border.

Oprogramowanie Load Balancer (modułu równoważenia obciążenia) działające wewnątrz elementów równorzędnych rozwiązania Azure Stack do urządzeń TOR, dzięki czemu może dynamicznie anonsować adresy VIP.The Software Load Balancer (SLB) running inside the Azure Stack solution peers to the TOR devices so it can dynamically advertise the VIP addresses.

Aby zapewnić, że ruch użytkowników natychmiast i niewidoczny w sposób przezroczysty odzyska się z awarii, VPC lub MLAG skonfigurowany między urządzeniami TOR umożliwia korzystanie z agregacji łączy wieloetapowych na hostach i HSRP lub VRRP, które zapewniają nadmiarowość sieci dla sieci IP.To ensure that user traffic immediately and transparently recovers from failure, the VPC or MLAG configured between the TOR devices allows the use of multi-chassis link aggregation to the hosts and HSRP or VRRP that provides network redundancy for the IP networks.

Routing statycznyStatic routing

Routing statyczny wymaga dodatkowej konfiguracji na urządzeniach obramowania.Static routing requires additional configuration to the border devices. Wymaga to ręcznej interwencji i zarządzania, a także dokładnej analizy przed zmianą.It requires more manual intervention and management as well as thorough analysis before any change. Problemy spowodowane błędem konfiguracji mogą zająć więcej czasu, w zależności od wprowadzonych zmian.Issues caused by a configuration error may take more time to rollback depending on the changes made. Ta metoda routingu nie jest zalecana, ale jest obsługiwana.This routing method isn't recommended, but it's supported.

Aby zintegrować Azure Stack ze środowiskiem sieciowym przy użyciu routingu statycznego, wszystkie cztery fizyczne linki między obramowaniem i urządzeniem TOR muszą być połączone.To integrate Azure Stack into your networking environment using static routing, all four physical links between the border and the TOR device must be connected. Nie można zagwarantować wysokiej dostępności ze względu na sposób działania routingu statycznego.High availability can't be guaranteed because of how static routing works.

Urządzenie obramowania musi być skonfigurowane z trasami statycznymi wskazującymi każdy z czterech adresów IP P2P między TOR i granicą ruchu kierowanego do dowolnej sieci w Azure Stack, ale do operacji wymagana jest tylko zewnętrzna lub publiczna sieć VIP.The border device must be configured with static routes pointing to each one of the four P2P IPs set between the TOR and the Border for traffic destined to any network inside Azure Stack, but only the External or Public VIP network is required for operation. Trasy statyczne do kontrolera BMC i sieci zewnętrznych są wymagane do wdrożenia początkowego.Static routes to the BMC and the External networks are required for initial deployment. Operatory mogą opuścić trasy statyczne w granicach, aby uzyskać dostęp do zasobów zarządzania znajdujących się na serwerze BMC i w sieci infrastruktury .Operators can choose to leave static routes in the border to access management resources that reside on the BMC and the Infrastructure network. Dodawanie tras statycznych do przełączania infrastruktury i sieci zarządzania przełącznikami jest opcjonalne.Adding static routes to switch infrastructure and switch management networks is optional.

Urządzenia TOR są skonfigurowane przy użyciu statycznej trasy domyślnej wysyłającej cały ruch do urządzeń obramowań.The TOR devices are configured with a static default route sending all traffic to the border devices. Jeden wyjątek ruchu dla reguły domyślnej dotyczy przestrzeni prywatnej, która jest blokowana przy użyciu listy Access Control zastosowanej do połączenia TOR do granicy.The one traffic exception to the default rule is for the private space, which is blocked using an Access Control List applied on the TOR to border connection.

Routing statyczny ma zastosowanie tylko do linków łączących między przełącznikami TOR i Border.Static routing applies only to the uplinks between the TOR and border switches. Routing dynamiczny BGP jest używany wewnątrz stojaka, ponieważ jest to podstawowe narzędzie dla modułu wyznaczania i innych składników i nie można go wyłączyć ani usunąć.BGP dynamic routing is used inside the rack because it's an essential tool for the SLB and other components and can't be disabled or removed.

* Sieć BMC jest opcjonalna po wdrożeniu.* The BMC network is optional after deployment.

** Sieć infrastruktury przełącznika jest opcjonalna, ponieważ cała sieć może być dołączona do sieci zarządzania przełącznikiem.** The Switch Infrastructure network is optional, as the whole network can be included in the Switch Management network.

*** Sieć zarządzania przełącznikami jest wymagana i można ją dodać niezależnie od sieci infrastruktury przełącznika.*** The Switch Management network is required and can be added separately from the Switch Infrastructure network.

Przezroczysty serwer proxyTransparent proxy

Jeśli centrum danych wymaga, aby cały ruch korzystał z serwera proxy, należy skonfigurować przezroczysty serwer proxy , aby przetworzyć cały ruch z stojaka, aby obsługiwać go zgodnie z zasadami, oddzielając ruch między strefami w sieci.If your datacenter requires all traffic to use a proxy, you must configure a transparent proxy to process all traffic from the rack to handle it according to policy, separating traffic between the zones on your network.

Rozwiązanie Azure Stack nie obsługuje normalnych serwerów proxy sieci WebThe Azure Stack solution doesn't support normal web proxies

Przezroczysty serwer proxy (znany również jako przechwycony, wbudowany lub wymuszony serwer proxy) przechwytuje normalną komunikację z warstwy sieciowej bez konieczności stosowania specjalnej konfiguracji klienta.A transparent proxy (also known as an intercepting, inline, or forced proxy) intercepts normal communication at the network layer without requiring any special client configuration. Klienci nie muszą znać istnienia serwera proxy.Clients don't need to be aware of the existence of the proxy.

Przechwytywanie ruchu SSL nie jest obsługiwane i może prowadzić do błędów usługi podczas uzyskiwania dostępu do punktów końcowych.SSL traffic interception is not supported and can lead to service failures when accessing endpoints. Maksymalny obsługiwany limit czasu komunikacji z punktami końcowymi wymaganą dla tożsamości to 60s z 3 próbami ponownych prób.The maximum supported timeout to communicate with endpoints required for identity is 60s with 3 retry attempts.

DNSDNS

Ta sekcja obejmuje konfigurację systemu nazw domen (DNS).This section covers Domain Name System (DNS) configuration.

Konfigurowanie warunkowego przekazywania DNSConfigure conditional DNS forwarding

Dotyczy to tylko wdrożenia AD FS.This only applies to an AD FS deployment.

Aby włączyć rozpoznawanie nazw przy użyciu istniejącej infrastruktury DNS, skonfiguruj przekazywanie warunkowe.To enable name resolution with your existing DNS infrastructure, configure conditional forwarding.

Aby dodać usługę przesyłania dalej warunkowego, należy użyć uprzywilejowanego punktu końcowego.To add a conditional forwarder, you must use the privileged endpoint.

W ramach tej procedury należy użyć komputera w sieci centrów danych, który może komunikować się z uprzywilejowanym punktem końcowym w Azure Stack.For this procedure, use a computer in your datacenter network that can communicate with the privileged endpoint in Azure Stack.

  1. Otwórz sesję programu Windows PowerShell z podwyższonym poziomem uprawnień (Uruchom jako administrator) i Połącz się z adresem IP uprzywilejowanego punktu końcowego.Open an elevated Windows PowerShell session (run as administrator), and connect to the IP address of the privileged endpoint. Użyj poświadczeń do uwierzytelniania CloudAdmin.Use the credentials for CloudAdmin authentication.

    \$cred=Get-Credential Enter-PSSession -ComputerName \<IP Address of ERCS\> -ConfigurationName PrivilegedEndpoint -Credential \$cred 
    
  2. Po nawiązaniu połączenia z punktem końcowym Privileged Uruchom następujące polecenie programu PowerShell.After you connect to the privileged endpoint, run the following PowerShell command. Zastąp przykładowe wartości podane nazwą domeny i adresami IP serwerów DNS, których chcesz użyć.Substitute the sample values provided with your domain name and IP addresses of the DNS servers you want to use.

    Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2" 
    

Rozpoznawanie Azure Stack nazw DNS z zewnątrz Azure StackResolving Azure Stack DNS names from outside Azure Stack

Serwery autorytatywne są tymi, które przechowują zewnętrzne informacje o strefie DNS i wszystkie strefy utworzone przez użytkownika.The authoritative servers are the ones that hold the external DNS zone information, and any user-created zones. Zintegruj z tymi serwerami, aby umożliwić delegowanie strefy lub przekazanie warunkowe do rozpoznawania Azure Stack nazw DNS z zewnątrz Azure Stack.Integrate with these servers to enable zone delegation or conditional forwarding to resolve Azure Stack DNS names from outside Azure Stack.

Pobierz informacje o zewnętrznym punkcie końcowym serwera DNSGet DNS Server external endpoint information

Aby zintegrować wdrożenie Azure Stack z infrastrukturą DNS, potrzebne są następujące informacje:To integrate your Azure Stack deployment with your DNS infrastructure, you need the following information:

  • Nazwy FQDN serwera DNSDNS server FQDNs

  • Adresy IP serwera DNSDNS server IP addresses

Nazwy FQDN dla serwerów DNS Azure Stack mają następujący format:The FQDNs for the Azure Stack DNS servers have the following format:

<NAMINGPREFIX>-ns01. <REGION> .<EXTERNALDOMAINNAME><NAMINGPREFIX>-ns01.<REGION>.<EXTERNALDOMAINNAME>

<NAMINGPREFIX>-ns02. <REGION> .<EXTERNALDOMAINNAME><NAMINGPREFIX>-ns02.<REGION>.<EXTERNALDOMAINNAME>

Za pomocą przykładowych wartości nazwy FQDN dla serwerów DNS są następujące:Using the sample values, the FQDNs for the DNS servers are:

azs-ns01.east.cloud.fabrikam.comazs-ns01.east.cloud.fabrikam.com

azs-ns02.east.cloud.fabrikam.comazs-ns02.east.cloud.fabrikam.com

Te informacje są dostępne w portalu administracyjnym, ale również tworzone na końcu wszystkich wdrożeń Azure Stack w pliku o nazwie AzureStackStampInformation.jsna.This information is available in the admin portal but also created at the end of all Azure Stack deployments in a file named AzureStackStampInformation.json. Ten plik znajduje się w folderze C: \ CloudDeployment \ Logs maszyny wirtualnej wdrożenia.This file is located in the C:\CloudDeployment\logs folder of the Deployment virtual machine. Jeśli nie masz pewności, jakie wartości zostały użyte do wdrożenia Azure Stack, możesz pobrać wartości z tego miejsca.If you're not sure what values were used for your Azure Stack deployment, you can get the values from here.

Jeśli maszyna wirtualna wdrożenia nie jest już dostępna lub jest niedostępna, można uzyskać wartości, łącząc się z uprzywilejowanym punktem końcowym i uruchamiając polecenie cmdlet programu Get-AzureStackStampInformation PowerShell.If the Deployment virtual machine is no longer available or is inaccessible, you can obtain the values by connecting to the privileged endpoint and running the Get-AzureStackStampInformation PowerShell cmdlet. Aby uzyskać więcej informacji, zobacz uprzywilejowany punkt końcowy.For more information, see privileged endpoint.

Konfigurowanie warunkowego przesyłania dalej do usługi Azure StackSetting up conditional forwarding to Azure Stack

Najprostszym i najbardziej bezpiecznym sposobem integrowania Azure Stack z infrastrukturą DNS jest przekazanie warunkowego przekazywania strefy z serwera, który obsługuje strefę nadrzędną.The simplest and most secure way to integrate Azure Stack with your DNS infrastructure is to do conditional forwarding of the zone from the server that hosts the parent zone. Ta metoda jest zalecana, jeśli masz bezpośrednią kontrolę nad serwerami DNS, które obsługują strefę nadrzędną dla Azure Stack zewnętrznej przestrzeni nazw DNS.This approach is recommended if you have direct control over the DNS servers that host the parent zone for your Azure Stack external DNS namespace.

Jeśli nie wiesz, jak przeprowadzić warunkowe przekazywanie za pomocą usługi DNS, zobacz następujący artykuł w witrynie TechNet: przypisywanie warunkowego usługi przesyłania dalej dla nazwy domeny lub dokumentacji specyficznej dla rozwiązania DNS.If you're not familiar with how to do conditional forwarding with DNS, see the following TechNet article: Assign a Conditional Forwarder for a Domain Name, or the documentation specific to your DNS solution.

W scenariuszach, w których została określona zewnętrzna strefa DNS Azure Stack, która będzie wyglądać podobnie do domeny podrzędnej nazwy domeny firmowej, nie można użyć warunkowego przekazywania.In scenarios where you specified your external Azure Stack DNS Zone to look like a child domain of your corporate domain name, conditional forwarding can't be used. Należy skonfigurować delegowanie usługi DNS.DNS delegation must be configured.

Przykład:Example:

  • Nazwa firmowej domeny DNS: contoso.comCorporate DNS Domain Name: contoso.com

  • Azure Stack zewnętrznej nazwy domeny DNS: azurestack.contoso.comAzure Stack External DNS Domain Name: azurestack.contoso.com

Edytowanie adresów IP usługi przesyłania dalej DNSEditing DNS Forwarder IPs

Adresy IP usługi przesyłania dalej DNS są ustawiane podczas wdrażania Azure Stack.DNS Forwarder IPs are set during deployment of Azure Stack. Jeśli jednak adresy IP usługi przesyłania dalej należy zaktualizować z dowolnego powodu, można edytować wartości, łącząc się z uprzywilejowanym punktem końcowym i uruchamiając Get-AzSDnsForwarder i Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]> ] poleceń cmdlet programu PowerShell.However, if the Forwarder IPs need to be updated for any reason, you can edit the values by connecting to the privileged endpoint and running the Get-AzSDnsForwarder and Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>] PowerShell cmdlets. Aby uzyskać więcej informacji, zobacz uprzywilejowany punkt końcowy.For more information, see privileged endpoint.

Delegowanie zewnętrznej strefy DNS do usługi Azure StackDelegating the external DNS zone to Azure Stack

Aby można było rozpoznać nazwy DNS spoza wdrożenia Azure Stack, należy skonfigurować delegowanie DNS.For DNS names to be resolvable from outside an Azure Stack deployment, you need to set up DNS delegation.

Każdy rejestrator ma swoje własne narzędzia do zarządzania systemem DNS służące do zmiany rekordów serwerów nazw dla domeny.Each registrar has their own DNS management tools to change the name server records for a domain. Na stronie zarządzania systemem DNS rejestratora Edytuj rekordy NS i Zastąp rekordy NS dla strefy tymi, które są w Azure Stack.In the registrar's DNS management page, edit the NS records and replace the NS records for the zone with the ones in Azure Stack.

Większość rejestratorów DNS wymaga podania co najmniej dwóch serwerów DNS w celu przeprowadzenia delegowania.Most DNS registrars require you to provide a minimum of two DNS servers to complete the delegation.

FirewallFirewall

Azure Stack konfiguruje wirtualne adresy IP (VIP) dla ról infrastruktury.Azure Stack sets up virtual IP addresses (VIPs) for its infrastructure roles. Te adresy VIP są przydzieleni z puli publicznych adresów IP.These VIPs are allocated from the public IP address pool. Każdy adres VIP jest zabezpieczony za pomocą listy kontroli dostępu (ACL) w warstwie sieciowej zdefiniowanej przez oprogramowanie.Each VIP is secured with an access control list (ACL) in the software-defined network layer. Listy ACL są również używane w ramach przełączników fizycznych (ne i BMC) w celu dalszej funkcjonalności rozwiązania.ACLs are also used across the physical switches (TORs and BMC) to further harden the solution. Wpis DNS jest tworzony dla każdego punktu końcowego w zewnętrznej strefie DNS, który jest określony podczas wdrażania.A DNS entry is created for each endpoint in the external DNS zone that's specified at deployment time. Na przykład Portal użytkowników ma przypisany wpis hosta DNS portalu. <region>.<fqdn>.For example, the user portal is assigned the DNS host entry of portal.<region>.<fqdn>.

Poniższy diagram architektury przedstawia różne warstwy sieciowe i listy ACL:The following architectural diagram shows the different network layers and ACLs:

diagram architektury przedstawia różne warstwy i listy ACL sieci

Porty i adresy URLPorts and URLs

Aby usługi Azure Stack (takie jak portale, Azure Resource Manager, DNS itd.) były dostępne dla sieci zewnętrznych, należy zezwolić na ruch przychodzący do tych punktów końcowych dla określonych adresów URL, portów i protokołów.To make Azure Stack services (like the portals, Azure Resource Manager, DNS, and so on) available to external networks, you must allow inbound traffic to these endpoints for specific URLs, ports, and protocols.

W przypadku wdrażania, w którym przezroczysty serwer proxy jest połączony z tradycyjnym serwerem proxy lub Zapora chroni rozwiązanie, należy zezwolić na określone porty i adresy URL zarówno dla komunikacji przychodzącej, jak i wychodzącej.In a deployment where a transparent proxy uplinks to a traditional proxy server or a firewall is protecting the solution, you must allow specific ports and URLs for both inbound and outbound communication. Obejmują one porty i adresy URL tożsamości, dane dotyczące witryny Marketplace, poprawki, aktualizacji, rejestracji i użycia.These include ports and URLs for identity, the marketplace, patch and update, registration, and usage data.

Komunikacja wychodzącaOutbound communication

Azure Stack obsługuje tylko przezroczyste serwery proxy.Azure Stack supports only transparent proxy servers. W przypadku wdrożenia z przezroczystym pasmem serwera proxy do tradycyjnego serwera proxy należy zezwolić na porty i adresy URL w poniższej tabeli na potrzeby komunikacji wychodzącej podczas wdrażania w trybie połączonym.In a deployment with a transparent proxy uplink to a traditional proxy server, you must allow the ports and URLs in the following table for outbound communication when deploying in connected mode.

Przechwytywanie ruchu SSL nie jest obsługiwane i może prowadzić do błędów usługi podczas uzyskiwania dostępu do punktów końcowych.SSL traffic interception is not supported and can lead to service failures when accessing endpoints. Maksymalny obsługiwany limit czasu komunikacji z punktami końcowymi wymaganą dla tożsamości to 60s.The maximum supported timeout to communicate with endpoints required for identity is 60s.

Uwaga

Azure Stack nie obsługuje korzystania z usług platformy Azure wymienionych w poniższej tabeli, ponieważ usługa ExpressRoute może nie być w stanie kierować ruchu do wszystkich punktów końcowych.Azure Stack doesn’t support using ExpressRoute to reach the Azure services listed in the following table because ExpressRoute may not be able to route traffic to all of the endpoints.

PrzeznaczeniePurpose Docelowy adres URLDestination URL ProtokółProtocol PortyPorts Sieć źródłowaSource Network
TożsamośćIdentity AzureAzure
login.windows.netlogin.windows.net
login.microsoftonline.comlogin.microsoftonline.com
graph.windows.netgraph.windows.net
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
www.office.comwww.office.com
ManagementServiceUri = https: / /Management.Core.Windows.NETManagementServiceUri = https://management.core.windows.net
ARMUri = https: / /Management.Azure.comARMUri = https://management.azure.com
https: / / * . msftauth.NEThttps://*.msftauth.net
https: / / * . msauth.NEThttps://*.msauth.net
https: / / * . msocdn.comhttps://*.msocdn.com
Azure GovernmentAzure Government
https: / /login.microsoftonline.us/https://login.microsoftonline.us/
https: / /Graph.Windows.NET/https://graph.windows.net/
Azure w Chinach — 21VianetAzure China 21Vianet
https: / /login.chinacloudapi.CN/https://login.chinacloudapi.cn/
https: / /Graph.chinacloudapi.CN/https://graph.chinacloudapi.cn/
Azure (Niemcy)Azure Germany
https: / /login.microsoftonline.de/https://login.microsoftonline.de/
https: / /Graph.cloudapi.de/https://graph.cloudapi.de/
HTTPHTTP
HTTPSHTTPS
8080
443443
Publiczny adres VIP —/27Public VIP - /27
Sieć infrastruktury publicznejPublic infrastructure Network
Zespalanie witryny MarketplaceMarketplace syndication AzureAzure
https://management.azure.comhttps://management.azure.com
https://*. blob.core.windows.nethttps://*.blob.core.windows.net
https://*. azureedge.nethttps://*.azureedge.net
Azure GovernmentAzure Government
https: / /Management.usgovcloudapi.NET/https://management.usgovcloudapi.net/
https://*. blob.core.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/
Azure w Chinach — 21VianetAzure China 21Vianet
https: / /Management.chinacloudapi.CN/https://management.chinacloudapi.cn/
http://*. blob.core.chinacloudapi.cnhttp://*.blob.core.chinacloudapi.cn
HTTPSHTTPS 443443 Publiczny adres VIP —/27Public VIP - /27
Poprawka & UpdatePatch & Update https://*. azureedge.nethttps://*.azureedge.net
https: / /aka.MS/azurestackautomaticupdatehttps://aka.ms/azurestackautomaticupdate
HTTPSHTTPS 443443 Publiczny adres VIP —/27Public VIP - /27
RejestracjaRegistration AzureAzure
https://management.azure.comhttps://management.azure.com
Azure GovernmentAzure Government
https: / /Management.usgovcloudapi.NET/https://management.usgovcloudapi.net/
Azure w Chinach — 21VianetAzure China 21Vianet
https: / /Management.chinacloudapi.CNhttps://management.chinacloudapi.cn
HTTPSHTTPS 443443 Publiczny adres VIP —/27Public VIP - /27
UżycieUsage AzureAzure
https://*. trafficmanager.nethttps://*.trafficmanager.net
Azure GovernmentAzure Government
https://*. usgovtrafficmanager.nethttps://*.usgovtrafficmanager.net
Azure w Chinach — 21VianetAzure China 21Vianet
https://*. trafficmanager.cnhttps://*.trafficmanager.cn
HTTPSHTTPS 443443 Publiczny adres VIP —/27Public VIP - /27
Windows DefenderWindows Defender *. wdcp.microsoft.com*.wdcp.microsoft.com
*. wdcpalt.microsoft.com*.wdcpalt.microsoft.com
*. wd.microsoft.com*.wd.microsoft.com
*. update.microsoft.com*.update.microsoft.com
*. download.microsoft.com*.download.microsoft.com
https: / /www.Microsoft.com/pkiops/CRLhttps://www.microsoft.com/pkiops/crl
https: / /www.Microsoft.com/pkiops/certshttps://www.microsoft.com/pkiops/certs
https: / /CRL.Microsoft.com/PKI/CRL/Productshttps://crl.microsoft.com/pki/crl/products
https: / /www.Microsoft.com/PKI/certshttps://www.microsoft.com/pki/certs
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
HTTPSHTTPS 8080
443443
Publiczny adres VIP —/27Public VIP - /27
Sieć infrastruktury publicznejPublic infrastructure Network
NTPNTP (IP serwera NTP dostarczonego do wdrożenia)(IP of NTP server provided for deployment) UDPUDP 123123 Publiczny adres VIP —/27Public VIP - /27
DNSDNS (Adres IP serwera DNS udostępniony do wdrożenia)(IP of DNS server provided for deployment) TCPTCP
UDPUDP
5353 Publiczny adres VIP —/27Public VIP - /27
LowCRL (Adres URL w punktach dystrybucji listy CRL w certyfikacie)(URL under CRL Distribution Points on your certificate) HTTPHTTP 8080 Publiczny adres VIP —/27Public VIP - /27
LDAPLDAP Active Directory Las udostępniony dla integracji programu GraphActive Directory Forest provided for Graph integration TCPTCP
UDPUDP
389389 Publiczny adres VIP —/27Public VIP - /27
PROTOKÓŁ LDAP SSLLDAP SSL Active Directory Las udostępniony dla integracji programu GraphActive Directory Forest provided for Graph integration TCPTCP 636636 Publiczny adres VIP —/27Public VIP - /27
LDAP GCLDAP GC Active Directory Las udostępniony dla integracji programu GraphActive Directory Forest provided for Graph integration TCPTCP 32683268 Publiczny adres VIP —/27Public VIP - /27
PROTOKÓŁ SSL GC W PROTOKOLE LDAPLDAP GC SSL Active Directory Las udostępniony dla integracji programu GraphActive Directory Forest provided for Graph integration TCPTCP 32693269 Publiczny adres VIP —/27Public VIP - /27
AD FSAD FS AD FS punkt końcowy metadanych dla integracji AD FSAD FS metadata endpoint provided for AD FS integration TCPTCP 443443 Publiczny adres VIP —/27Public VIP - /27
Usługa zbierania dzienników diagnostycznychDiagnostic Log collection service Adres URL sygnatury dostępu współdzielonego usługi Azure StorageAzure Storage provided Blob SAS URL HTTPSHTTPS 443443 Publiczny adres VIP —/27Public VIP - /27

Komunikacja przychodzącaInbound communication

Zestaw adresów VIP infrastruktury jest wymagany do publikowania Azure Stack punktów końcowych w sieciach zewnętrznych.A set of infrastructure VIPs is required for publishing Azure Stack endpoints to external networks. W tabeli Endpoint (VIP) są wyświetlane wszystkie punkty końcowe, wymagany port i protokół.The Endpoint (VIP) table shows each endpoint, the required port, and protocol. Zapoznaj się z dokumentacją dotyczącą wdrażania określonego dostawcy zasobów dla punktów końcowych, które wymagają dodatkowych dostawców zasobów, takich jak dostawca zasobów SQL.Refer to the specific resource provider deployment documentation for endpoints that require additional resource providers, like the SQL resource provider.

Adresy VIP infrastruktury wewnętrznej nie są wyświetlane, ponieważ nie są wymagane do publikowania Azure Stack.Internal infrastructure VIPs aren't listed because they're not required for publishing Azure Stack. Adresy VIP użytkownika są dynamiczne i definiowane przez samych użytkowników, bez kontroli przez operatora Azure StackUser VIPs are dynamic and defined by the users themselves, with no control by the Azure Stack operator

Uwaga

Sieci VPN IKEv2 to oparte na standardach rozwiązanie sieci VPN IPsec, które korzysta z portów UDP 500 i 4500 oraz portu TCP 50.IKEv2 VPN is a standards-based IPsec VPN solution that uses UDP port 500 and 4500 and TCP port 50. Zapory nie zawsze otwierają te porty, więc sieć VPN z protokołem IKEv2 może nie być w stanie przechodzenia między serwerami proxy i zaporami.Firewalls don’t always open these ports, so an IKEv2 VPN might not be able to traverse proxies and firewalls.

Punkt końcowy (VIP)Endpoint (VIP) Rekord A hosta DNSDNS host A record ProtokółProtocol PortyPorts
AD FSAD FS Usług AD FS. < region>. <>FQDNAdfs.<region>.<fqdn> HTTPSHTTPS 443443
Portal (Administrator)Portal (administrator) Adminportal. < region>. <>FQDNAdminportal.<region>.<fqdn> HTTPSHTTPS 443443
AdminhostingAdminhosting *. adminhosting. <region> .<fqdn>*.adminhosting.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (Administrator)Azure Resource Manager (administrator) Adminmanagement. < region>. <>FQDNAdminmanagement.<region>.<fqdn> HTTPSHTTPS 443443
Portal (użytkownik)Portal (user) Portal. < region>. <>FQDNPortal.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (użytkownik)Azure Resource Manager (user) Administracyjnego. < region>. <>FQDNManagement.<region>.<fqdn> HTTPSHTTPS 443443
GraphGraph Ziół. < region>. <>FQDNGraph.<region>.<fqdn> HTTPSHTTPS 443443
Lista odwołania certyfikatówCertificate revocation list Lista CRL.< region>. <>FQDNCrl.<region>.<fqdn> HTTPHTTP 8080
DNSDNS *. < region>. <>FQDN*.<region>.<fqdn> TCP & UDPTCP & UDP 5353
HostingHosting *. hosting. <region> .<fqdn>*.hosting.<region>.<fqdn> HTTPSHTTPS 443443
Key Vault (użytkownik)Key Vault (user) *. magazyn. < region>. <>FQDN*.vault.<region>.<fqdn> HTTPSHTTPS 443443
Key Vault (Administrator)Key Vault (administrator) *. adminvault. < region>. <>FQDN*.adminvault.<region>.<fqdn> HTTPSHTTPS 443443
Kolejka magazynuStorage Queue *. Queue. < region>. <>FQDN*.queue.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Tabela magazynuStorage Table *. Table. < region>. <>FQDN*.table.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Storage BlobStorage Blob *. blob. < region>. <>FQDN*.blob.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Dostawca zasobów SQLSQL Resource Provider sqladapter. dbadapter. < region>. <>FQDNsqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
Dostawca zasobów MySQLMySQL Resource Provider mysqladapter. dbadapter. < region>. <>FQDNmysqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
App ServiceApp Service *. appService. < region>. <>FQDN*.appservice.<region>.<fqdn> TCPTCP 80 (HTTP)80 (HTTP)
443 (HTTPS)443 (HTTPS)
8172 (MSDeploy)8172 (MSDeploy)
*. SCM. appService. < region>. <>FQDN*.scm.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
API. appService. < region>. <>FQDNapi.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
44300 (Azure Resource Manager)44300 (Azure Resource Manager)
FTP. appService. < region>. <>FQDNftp.appservice.<region>.<fqdn> TCP, UDPTCP, UDP 21, 1021, 10001-10100 (FTP)21, 1021, 10001-10100 (FTP)
990 (FTPS)990 (FTPS)
Bramy sieci VPNVPN Gateways Zobacz często zadawane pytania dotyczące bramy sieci VPN.See the VPN gateway FAQ.