Integração de redeNetwork integration

Este artigo aborda Azure Stack integração de rede para o datacenter modular do Azure.This article covers Azure Stack network integration for Azure Modular Datacenter.

O planejamento de integração de rede é um pré-requisito importante para implantação, operação e gerenciamento de sistemas integrados com êxito Azure Stack.Network integration planning is an important prerequisite for successful Azure Stack integrated systems deployment, operation, and management. O planejamento de conectividade de borda começa escolhendo se você deseja usar o roteamento dinâmico com o Border Gateway Protocol (BGP) ou roteamento estático.Border connectivity planning begins by choosing if you want to use dynamic routing with the Border Gateway Protocol (BGP) or static routing. O roteamento dinâmico requer que você atribua um número de sistema autônomo BGP de 16 bits (público ou privado).Dynamic routing requires that you assign a 16-bit BGP autonomous system number (public or private). O roteamento estático usa uma rota padrão estática que é atribuída aos dispositivos de borda.Static routing uses a static default route that's assigned to the border devices.

As opções de borda exigem uplinks de camada 3 com IPs ponto a ponto (/30 redes) configurados nas interfaces físicas.The edge switches require Layer 3 uplinks with point-to-point IPs (/30 networks) configured on the physical interfaces. Uplinks de camada 2 com comutadores de borda com suporte a operações de Azure Stack não têm suporte.Layer 2 uplinks with edge switches supporting Azure Stack operations isn't supported.

Roteamento BGPBGP routing

O uso de um protocolo de roteamento dinâmico, como BGP, garante que seu sistema esteja sempre ciente das alterações na rede e facilita a administração.Using a dynamic routing protocol like BGP guarantees that your system is always aware of network changes and facilitates administration. Para aumentar a segurança, você pode definir uma senha no emparelhamento via protocolo BGP entre a borda e a borda.For enhanced security, you can set a password on the BGP peering between the edge and the border.

Conforme mostrado no diagrama a seguir, a publicidade do espaço IP privado no comutador TOR (Top-of-rack) é bloqueada usando uma lista de prefixos.As shown in the following diagram, advertising of the private IP space on the top-of-rack (TOR) switch is blocked by using a prefix list. A lista de prefixo nega o anúncio da rede privada e é aplicada como um mapa de rota na conexão entre o TOR e a borda.The prefix list denies the advertisement of the private network, and it's applied as a route map on the connection between the TOR and the edge.

O SLB (balanceador de carga de software) em execução dentro do Azure Stack a solução pertence aos dispositivos TOR para que possa anunciar dinamicamente os endereços VIP.The software load balancer (SLB) running inside the Azure Stack solution peers to the TOR devices so it can dynamically advertise the VIP addresses.

Para garantir que o tráfego do usuário se recupere imediatamente e de forma transparente contra falhas, a nuvem privada virtual ou a MLAG (agregação de link de vários chassis) configurada entre os dispositivos TOR permite o uso de MLAG para os hosts e HSRP ou VRRP que fornece redundância de rede para as redes IP.To ensure that user traffic immediately and transparently recovers from failure, the virtual private cloud or multi-chassis link aggregation (MLAG) configured between the TOR devices allows the use of MLAG to the hosts and HSRP or VRRP that provides network redundancy for the IP networks.

Roteamento estáticoStatic routing

O roteamento estático requer configuração adicional para os dispositivos de borda.Static routing requires additional configuration to the border devices. Ele requer mais gerenciamento e intervenção manual, bem como uma análise completa antes de qualquer alteração.It requires more manual intervention and management as well as thorough analysis before any change. Os problemas causados por um erro de configuração podem levar mais tempo para serem revertidos dependendo das alterações feitas.Issues caused by a configuration error might take more time to roll back depending on the changes made. Não recomendamos esse método de roteamento, mas há suporte para ele.We don't recommend this routing method, but it's supported.

Para integrar o Azure Stack ao seu ambiente de rede usando o roteamento estático, todos os quatro links físicos entre a borda e o dispositivo de borda devem estar conectados.To integrate Azure Stack into your networking environment by using static routing, all four physical links between the border and the edge device must be connected. A alta disponibilidade não pode ser garantida devido ao funcionamento do roteamento estático.High availability can't be guaranteed because of how static routing works.

O dispositivo de borda deve ser configurado com rotas estáticas apontando para cada um dos quatro conjuntos de IPs ponto a ponto entre a borda e a borda do tráfego destinado a qualquer rede dentro de Azure Stack.The border device must be configured with static routes pointing to each one of the four point-to-point IPs set between the edge and the border for traffic destined to any network inside Azure Stack. Mas, somente a rede VIP externa ou pública é necessária para a operação.But, only the external or public VIP network is required for operation. As rotas estáticas para o BMC e as redes externas são necessárias para a implantação inicial.Static routes to the BMC and the external networks are required for initial deployment. Os operadores podem optar por deixar rotas estáticas na borda para acessar os recursos de gerenciamento que residem no BMC e na rede de infraestrutura.Operators can choose to leave static routes in the border to access management resources that reside on the BMC and the infrastructure network. Adicionar rotas estáticas à infraestrutura de comutação e redes de gerenciamento de comutador é opcional.Adding static routes to switch infrastructure and switch management networks is optional.

Os dispositivos TOR são configurados com uma rota padrão estática enviando todo o tráfego para os dispositivos de borda.The TOR devices are configured with a static default route sending all traffic to the border devices. A exceção de tráfego para a regra padrão é para o espaço privado, que é bloqueado usando uma lista de controle de acesso aplicada na conexão TOR-to-Border.The one traffic exception to the default rule is for the private space, which is blocked by using an access control list applied on the TOR-to-border connection.

O roteamento estático aplica-se somente aos uplinks entre as opções de borda e borda.Static routing applies only to the uplinks between the edge and border switches. O roteamento dinâmico BGP é usado dentro do rack porque é uma ferramenta essencial para o SLB e outros componentes e não pode ser desabilitado ou removido.BGP dynamic routing is used inside the rack because it's an essential tool for the SLB and other components and can't be disabled or removed.

* A rede do BMC é opcional após a implantação.* The BMC network is optional after deployment.

** A rede de infraestrutura de switch é opcional porque toda a rede pode ser incluída na rede de gerenciamento de comutador.** The switch infrastructure network is optional because the whole network can be included in the switch management network.

*** A rede de gerenciamento de comutador é necessária e pode ser adicionada separadamente da rede de infraestrutura do comutador.*** The switch management network is required and can be added separately from the switch infrastructure network.

Proxy transparenteTransparent proxy

Se seu datacenter exigir que todo o tráfego use um proxy, você deverá configurar um proxy transparente para processar todo o tráfego do rack para tratá-lo de acordo com a política.If your datacenter requires all traffic to use a proxy, you must configure a transparent proxy to process all traffic from the rack to handle it according to policy. Você deve separar o tráfego entre as zonas em sua rede.You must separate traffic between the zones on your network.

A solução Azure Stack não dá suporte a proxies da Web normais.The Azure Stack solution doesn't support normal web proxies.

Um proxy transparente (também conhecido como proxy de interceptação, embutido ou forçado) intercepta a comunicação normal na camada de rede sem exigir nenhuma configuração especial de cliente.A transparent proxy (also known as an intercepting, inline, or forced proxy) intercepts normal communication at the network layer without requiring any special client configuration. Os clientes não precisam estar cientes da existência do proxy.Clients don't need to be aware of the existence of the proxy.

A interceptação de tráfego SSL não tem suporte e pode levar a falhas de serviço ao acessar pontos de extremidade.SSL traffic interception isn't supported and can lead to service failures when accessing endpoints. O tempo limite máximo com suporte para se comunicar com pontos de extremidade necessários para a identidade é de 60 segundos com três tentativas de repetição.The maximum supported timeout to communicate with endpoints required for identity is 60 seconds with three retry attempts.

DNSDNS

Esta seção aborda a configuração do DNS (sistema de nomes de domínio).This section covers Domain Name System (DNS) configuration.

Configurar o encaminhamento de DNS condicionalConfigure conditional DNS forwarding

Essa orientação se aplica somente a uma implantação de Serviços de Federação do Active Directory (AD FS) (AD FS).This guidance only applies to an Active Directory Federation Services (AD FS) deployment.

Para habilitar a resolução de nomes com sua infraestrutura de DNS existente, configure o encaminhamento condicional.To enable name resolution with your existing DNS infrastructure, configure conditional forwarding.

Para adicionar um encaminhador condicional, você deve usar o ponto de extremidade privilegiado.To add a conditional forwarder, you must use the privileged endpoint.

Para este procedimento, use um computador em sua rede de datacenter que possa se comunicar com o ponto de extremidade privilegiado em Azure Stack.For this procedure, use a computer in your datacenter network that can communicate with the privileged endpoint in Azure Stack.

  1. Abra uma sessão do Windows PowerShell com privilégios elevados (executar como administrador).Open an elevated Windows PowerShell session (run as administrator). Conecte-se ao endereço IP do ponto de extremidade privilegiado.Connect to the IP address of the privileged endpoint. Use as credenciais para autenticação CloudAdmin.Use the credentials for CloudAdmin authentication.

    \$cred=Get-Credential Enter-PSSession -ComputerName \<IP Address of ERCS\> -ConfigurationName PrivilegedEndpoint -Credential \$cred 
    
  2. Depois de se conectar ao ponto de extremidade privilegiado, execute o seguinte comando do PowerShell.After you connect to the privileged endpoint, run the following PowerShell command. Substitua os valores de exemplo fornecidos com o nome de domínio e os endereços IP dos servidores DNS que você deseja usar.Substitute the sample values provided with your domain name and IP addresses of the DNS servers you want to use.

    Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2" 
    

Resolver Azure Stack nomes DNS de fora Azure StackResolve Azure Stack DNS names from outside Azure Stack

Os servidores autoritativos são aqueles que mantêm as informações de zona DNS externa e todas as zonas criadas pelo usuário.The authoritative servers are the ones that hold the external DNS zone information and any user-created zones. Integre-se a esses servidores para habilitar a delegação de zona ou o encaminhamento condicional para resolver Azure Stack nomes DNS de fora Azure Stack.Integrate with these servers to enable zone delegation or conditional forwarding to resolve Azure Stack DNS names from outside Azure Stack.

Obter informações de ponto de extremidade externo do servidor DNSGet DNS Server external endpoint information

Para integrar sua implantação de Azure Stack com sua infraestrutura de DNS, você precisará das seguintes informações:To integrate your Azure Stack deployment with your DNS infrastructure, you need the following information:

  • FQDNs (nomes de domínio totalmente qualificados) do servidor DNSDNS server fully qualified domain names (FQDNs)
  • Endereços IP do servidor DNSDNS server IP addresses

Os FQDNs para os servidores DNS Azure Stack têm o seguinte formato:The FQDNs for the Azure Stack DNS servers have the following format:

  • <NAMINGPREFIX>-ns01. <REGION> .<EXTERNALDOMAINNAME><NAMINGPREFIX>-ns01.<REGION>.<EXTERNALDOMAINNAME>
  • <NAMINGPREFIX>-ns02. <REGION> .<EXTERNALDOMAINNAME><NAMINGPREFIX>-ns02.<REGION>.<EXTERNALDOMAINNAME>

Usando os valores de exemplo, os FQDNs dos servidores DNS são:Using the sample values, the FQDNs for the DNS servers are:

  • azs-ns01.east.cloud.fabrikam.comazs-ns01.east.cloud.fabrikam.com
  • azs-ns02.east.cloud.fabrikam.comazs-ns02.east.cloud.fabrikam.com

Essas informações estão disponíveis no portal de administração, mas também são criadas no final de todas as implantações de Azure Stack em um arquivo chamado AzureStackStampInformation.jsem.This information is available in the admin portal but also created at the end of all Azure Stack deployments in a file named AzureStackStampInformation.json. Esse arquivo está localizado na pasta C: \ CloudDeployment \ logs da máquina virtual de implantação.This file is located in the C:\CloudDeployment\logs folder of the deployment virtual machine. Se você não tiver certeza de quais valores foram usados para sua implantação de Azure Stack, poderá obter os valores aqui.If you're not sure what values were used for your Azure Stack deployment, you can get the values from here.

Se a máquina virtual de implantação não estiver mais disponível ou estiver inacessível, você poderá obter os valores conectando-se ao ponto de extremidade privilegiado e executando o cmdlet Get-AzureStackStampInformation do PowerShell.If the deployment virtual machine is no longer available or is inaccessible, you can obtain the values by connecting to the privileged endpoint and running the Get-AzureStackStampInformation PowerShell cmdlet. Para obter mais informações, consulte ponto de extremidade privilegiado.For more information, see privileged endpoint.

Configurar o encaminhamento condicional para Azure StackSet up conditional forwarding to Azure Stack

A maneira mais simples e segura de integrar Azure Stack com sua infraestrutura de DNS é fazer o encaminhamento condicional da zona do servidor que hospeda a zona pai.The simplest and most secure way to integrate Azure Stack with your DNS infrastructure is to do conditional forwarding of the zone from the server that hosts the parent zone. Recomendamos essa abordagem se você tiver controle direto sobre os servidores DNS que hospedam a zona pai para seu namespace DNS externo Azure Stack.We recommend this approach if you have direct control over the DNS servers that host the parent zone for your Azure Stack external DNS namespace.

Se você não estiver familiarizado com como fazer o encaminhamento condicional com o DNS, consulte o artigo do TechNet "atribuir um encaminhador condicional para um nome de domínio" ou a documentação específica para sua solução DNS.If you're not familiar with how to do conditional forwarding with DNS, see the TechNet article "Assign a Conditional Forwarder for a Domain Name" or the documentation specific to your DNS solution.

Em cenários em que você especificou sua zona DNS de Azure Stack externa para se parecer com um domínio filho do seu nome de domínio corporativo, o encaminhamento condicional não pode ser usado.In scenarios where you specified your external Azure Stack DNS zone to look like a child domain of your corporate domain name, conditional forwarding can't be used. A delegação de DNS deve ser configurada.DNS delegation must be configured.

Exemplo:Example:

  • Nome de domínio DNS corporativo: contoso.comCorporate DNS domain name: contoso.com
  • Azure Stack nome de domínio DNS externo: azurestack.contoso.comAzure Stack external DNS domain name: azurestack.contoso.com

Editar IPs de encaminhador de DNSEdit DNS forwarder IPs

Os IPs de encaminhador de DNS são definidos durante a implantação de Azure Stack.DNS forwarder IPs are set during deployment of Azure Stack. Se os IPs do encaminhador precisarem ser atualizados por qualquer motivo, você poderá editar os valores conectando-se ao ponto de extremidade privilegiado e executando os cmdlets do PowerShell Get-AzSDnsForwarder e set-AzSDnsForwarder [[-IPAddress] <IPAddress[]> ] .If the forwarder IPs need to be updated for any reason, you can edit the values by connecting to the privileged endpoint and running the Get-AzSDnsForwarder and Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>] PowerShell cmdlets. Para obter mais informações, consulte ponto de extremidade privilegiado.For more information, see privileged endpoint.

Delegar a zona DNS externa para Azure StackDelegate the external DNS zone to Azure Stack

Para que os nomes DNS sejam resolvidos de fora de uma implantação de Azure Stack, você precisa configurar a delegação de DNS.For DNS names to be resolvable from outside an Azure Stack deployment, you need to set up DNS delegation.

Cada registrador tem suas próprias ferramentas de gerenciamento de DNS para alterar os registros de servidor de nomes para um domínio.Each registrar has their own DNS management tools to change the name server records for a domain. Na página de gerenciamento do DNS do registrador, edite os registros NS e substitua os registros NS da zona por aqueles em Azure Stack.In the registrar's DNS management page, edit the NS records and replace the NS records for the zone with the ones in Azure Stack.

A maioria dos registradores de DNS exige que você forneça um mínimo de dois servidores DNS para concluir a delegação.Most DNS registrars require you to provide a minimum of two DNS servers to complete the delegation.

FirewallFirewall

Azure Stack configura VIPs (endereços IP virtuais) para suas funções de infraestrutura.Azure Stack sets up virtual IP addresses (VIPs) for its infrastructure roles. Esses VIPs são alocados do pool de endereços IP públicos.These VIPs are allocated from the public IP address pool. Cada VIP é protegido com uma ACL (lista de controle de acesso) na camada de rede definida pelo software.Each VIP is secured with an access control list (ACL) in the software-defined network layer. As ACLs também são usadas em todos os comutadores físicos (tores e BMC) para proteger ainda mais a solução.ACLs are also used across the physical switches (TORs and BMC) to further harden the solution. Uma entrada DNS é criada para cada ponto de extremidade na zona DNS externa que é especificada no momento da implantação.A DNS entry is created for each endpoint in the external DNS zone that's specified at deployment time. Por exemplo, o portal do usuário recebe a entrada de host DNS do Portal. <region>.<fqdn>.For example, the user portal is assigned the DNS host entry of portal.<region>.<fqdn>.

O diagrama de arquitetura a seguir mostra as diferentes camadas de rede e ACLs.The following architectural diagram shows the different network layers and ACLs.

Diagrama arquitetônico mostra as diferentes camadas de rede e ACLs.

Portas e URLsPorts and URLs

Para fazer Azure Stack serviços como portais, Azure Resource Manager e DNS disponíveis para redes externas, você deve permitir o tráfego de entrada para esses pontos de extremidade para URLs, portas e protocolos específicos.To make Azure Stack services like portals, Azure Resource Manager, and DNS available to external networks, you must allow inbound traffic to these endpoints for specific URLs, ports, and protocols.

Em uma implantação em que um proxy transparente faz vínculos para um servidor proxy tradicional ou um firewall está protegendo a solução, você deve permitir portas e URLs específicas para comunicação de entrada e de saída.In a deployment where a transparent proxy uplinks to a traditional proxy server or a firewall is protecting the solution, you must allow specific ports and URLs for both inbound and outbound communication. Os exemplos incluem portas e URLs para identidade, Azure Stack Marketplace do Hub, patch e atualização, registro e dados de uso.Examples include ports and URLs for identity, Azure Stack Hub Marketplace, patch and update, registration, and usage data.

Comunicação de saídaOutbound communication

Azure Stack dá suporte apenas a servidores proxy transparentes.Azure Stack supports only transparent proxy servers. Em uma implantação com um uplink de proxy transparente para um servidor proxy tradicional, você deve permitir as portas e URLs na tabela a seguir para comunicação de saída ao implantar no modo conectado.In a deployment with a transparent proxy uplink to a traditional proxy server, you must allow the ports and URLs in the following table for outbound communication when you deploy in connected mode.

A interceptação de tráfego SSL não tem suporte e pode levar a falhas de serviço ao acessar pontos de extremidade.SSL traffic interception isn't supported and can lead to service failures when accessing endpoints. O tempo limite máximo com suporte para se comunicar com pontos de extremidade necessários para a identidade é de 60 segundos.The maximum supported timeout to communicate with endpoints required for identity is 60 seconds.

Observação

Azure Stack não dá suporte ao uso do Azure ExpressRoute para acessar os serviços do Azure listados na tabela a seguir, pois o ExpressRoute pode não ser capaz de rotear o tráfego para todos os pontos de extremidade.Azure Stack doesn't support using Azure ExpressRoute to reach the Azure services listed in the following table because ExpressRoute might not be able to route traffic to all of the endpoints.

FinalidadePurpose URL de destinoDestination URL ProtocoloProtocol PortasPorts Rede de origemSource network
IdentidadeIdentity AzureAzure
login.windows.netlogin.windows.net
login.microsoftonline.comlogin.microsoftonline.com
graph.windows.netgraph.windows.net
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
www.office.comwww.office.com
ManagementServiceUri = https: / /Management.Core.Windows.netManagementServiceUri = https://management.core.windows.net
ARMUri = https: / /Management.Azure.comARMUri = https://management.azure.com
https: / / * . msftauth.nethttps://*.msftauth.net
https: / / * . msauth.nethttps://*.msauth.net
https: / / * . msocdn.comhttps://*.msocdn.com
Azure GovernamentalAzure Government
https: / /login.microsoftonline.us/https://login.microsoftonline.us/
https: / /Graph.Windows.net/https://graph.windows.net/
Azure China 21VianetAzure China 21Vianet
https: / /login.chinacloudapi.cn/https://login.chinacloudapi.cn/
https: / /Graph.chinacloudapi.cn/https://graph.chinacloudapi.cn/
Azure AlemanhaAzure Germany
https: / /login.microsoftonline.de/https://login.microsoftonline.de/
https: / /Graph.cloudapi.de/https://graph.cloudapi.de/
HTTPHTTP
HTTPSHTTPS
8080
443443
VIP público-/27Public VIP - /27
Rede de infraestrutura públicaPublic infrastructure network
Distribuição do Marketplace de Azure Stack HubAzure Stack Hub Marketplace syndication AzureAzure
https://management.azure.comhttps://management.azure.com
https://*. blob.core.windows.nethttps://*.blob.core.windows.net
https://*. azureedge.nethttps://*.azureedge.net
Azure GovernamentalAzure Government
https: / /Management.usgovcloudapi.net/https://management.usgovcloudapi.net/
https://*. blob.core.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/
Azure China 21VianetAzure China 21Vianet
https: / /Management.chinacloudapi.cn/https://management.chinacloudapi.cn/
http://*. blob.core.chinacloudapi.cnhttp://*.blob.core.chinacloudapi.cn
HTTPSHTTPS 443443 VIP público-/27Public VIP - /27
Patch e atualizaçãoPatch and update https://*. azureedge.nethttps://*.azureedge.net
https: / /aka.ms/azurestackautomaticupdatehttps://aka.ms/azurestackautomaticupdate
HTTPSHTTPS 443443 VIP público-/27Public VIP - /27
RegistroRegistration AzureAzure
https://management.azure.comhttps://management.azure.com
Azure GovernamentalAzure Government
https: / /Management.usgovcloudapi.net/https://management.usgovcloudapi.net/
Azure China 21VianetAzure China 21Vianet
https: / /Management.chinacloudapi.cnhttps://management.chinacloudapi.cn
HTTPSHTTPS 443443 VIP público-/27Public VIP - /27
UsoUsage AzureAzure
https://*. trafficmanager.nethttps://*.trafficmanager.net
Azure GovernamentalAzure Government
https://*. usgovtrafficmanager.nethttps://*.usgovtrafficmanager.net
Azure China 21VianetAzure China 21Vianet
https://*. trafficmanager.cnhttps://*.trafficmanager.cn
HTTPSHTTPS 443443 VIP público-/27Public VIP - /27
Windows DefenderWindows Defender *. wdcp.microsoft.com*.wdcp.microsoft.com
*. wdcpalt.microsoft.com*.wdcpalt.microsoft.com
*. wd.microsoft.com*.wd.microsoft.com
*. update.microsoft.com*.update.microsoft.com
*. download.microsoft.com*.download.microsoft.com
https: / /www.Microsoft.com/pkiops/CRLhttps://www.microsoft.com/pkiops/crl
https: / /www.Microsoft.com/pkiops/certshttps://www.microsoft.com/pkiops/certs
https: / /CRL.Microsoft.com/PKI/CRL/Productshttps://crl.microsoft.com/pki/crl/products
https: / /www.Microsoft.com/PKI/certshttps://www.microsoft.com/pki/certs
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
HTTPSHTTPS 8080
443443
VIP público-/27Public VIP - /27
Rede de infraestrutura públicaPublic infrastructure network
NTPNTP IP do servidor NTP fornecido para implantaçãoIP of NTP server provided for deployment UDPUDP 123123 VIP público-/27Public VIP - /27
DNSDNS IP do servidor DNS fornecido para implantaçãoIP of DNS server provided for deployment TCPTCP
UDPUDP
5353 VIP público-/27Public VIP - /27
CRLCRL URL em pontos de distribuição de CRL em seu certificadoURL under CRL Distribution Points on your certificate HTTPHTTP 8080 VIP público-/27Public VIP - /27
LDAPLDAP Floresta Active Directory fornecida para a integração do grafo do AzureActive Directory forest provided for Azure Graph integration TCPTCP
UDPUDP
389389 VIP público-/27Public VIP - /27
LDAP SSLLDAP SSL Active Directory floresta fornecida para a integração com o GraphActive Directory forest provided for Graph integration TCPTCP 636636 VIP público-/27Public VIP - /27
GC DE LDAPLDAP GC Active Directory floresta fornecida para a integração com o GraphActive Directory forest provided for Graph integration TCPTCP 32683268 VIP público-/27Public VIP - /27
SSL GC DE LDAPLDAP GC SSL Active Directory floresta fornecida para a integração com o GraphActive Directory forest provided for Graph integration TCPTCP 32693269 VIP público-/27Public VIP - /27
AD FSAD FS Ponto de extremidade de metadados AD FS fornecido para integração de AD FSAD FS metadata endpoint provided for AD FS integration TCPTCP 443443 VIP público-/27Public VIP - /27
Serviço de coleta de log de diagnósticoDiagnostic log collection service Armazenamento de BLOBs do Azure-URL de assinatura de acesso compartilhado fornecidaAzure Blob Storage-provided shared access signature URL HTTPSHTTPS 443443 VIP público-/27Public VIP - /27

Comunicação de entradaInbound communication

Um conjunto de VIPs de infraestrutura é necessário para publicar Azure Stack pontos de extremidade em redes externas.A set of infrastructure VIPs is required for publishing Azure Stack endpoints to external networks. A tabela de ponto de extremidade (VIP) mostra cada ponto de extremidade, a porta necessária e o protocolo.The Endpoint (VIP) table shows each endpoint, the required port, and protocol. Para pontos de extremidade que exigem provedores de recursos adicionais, como o provedor de recursos do SQL, consulte a documentação específica de implantação do provedor de recursos.For endpoints that require additional resource providers, like the SQL resource provider, see the specific resource provider deployment documentation.

VIPs de infraestrutura interna não são listados porque não são necessários para publicar Azure Stack.Internal infrastructure VIPs aren't listed because they're not required for publishing Azure Stack. Os VIPs de usuário são dinâmicos e definidos pelos próprios usuários, sem controle pelo operador de Azure Stack.User VIPs are dynamic and defined by the users themselves, with no control by the Azure Stack operator.

Observação

A VPN IKEv2 é uma solução de VPN IPsec baseada em padrões que usa a porta UDP 500 e 4500 e a porta TCP 50.IKEv2 VPN is a standards-based IPsec VPN solution that uses UDP port 500 and 4500 and TCP port 50. Os firewalls nem sempre abrem essas portas, de modo que uma VPN IKEv2 pode não ser capaz de atravessar proxies e firewalls.Firewalls don't always open these ports, so an IKEv2 VPN might not be able to traverse proxies and firewalls.

Ponto de extremidade (VIP)Endpoint (VIP) Registro A do host DNSDNS host A record ProtocoloProtocol PortasPorts
AD FSAD FS ADFS. <> de região. <>FQDNAdfs.<region>.<fqdn> HTTPSHTTPS 443443
Portal do Azure (administrador)Azure portal (administrator) Adminportal. <> de região. <>FQDNAdminportal.<region>.<fqdn> HTTPSHTTPS 443443
AdminhostingAdminhosting *. adminhosting. <region> .<fqdn>*.adminhosting.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (administrador)Azure Resource Manager (administrator) Adminmanagement. <> de região. <>FQDNAdminmanagement.<region>.<fqdn> HTTPSHTTPS 443443
Portal do Azure (usuário)Azure portal (user) Portal. <> de região. <>FQDNPortal.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (usuário)Azure Resource Manager (user) Gerenciamento. <> de região. <>FQDNManagement.<region>.<fqdn> HTTPSHTTPS 443443
Grafo do AzureAzure Graph Graph. <> de região. <>FQDNGraph.<region>.<fqdn> HTTPSHTTPS 443443
Lista de certificados revogadosCertificate revocation list CRL.< Region>. <>FQDNCrl.<region>.<fqdn> HTTPHTTP 8080
DNSDNS *. <> de região. <>FQDN*.<region>.<fqdn> TCP & UDPTCP & UDP 5353
HostingHosting *. Hosting. <region> .<fqdn>*.hosting.<region>.<fqdn> HTTPSHTTPS 443443
Azure Key Vault (usuário)Azure Key Vault (user) *. Vault. <> de região. <>FQDN*.vault.<region>.<fqdn> HTTPSHTTPS 443443
Azure Key Vault (administrador)Azure Key Vault (administrator) *. adminvault. <> de região. <>FQDN*.adminvault.<region>.<fqdn> HTTPSHTTPS 443443
Armazenamento de Filas do AzureAzure Queue Storage *. Queue. <> de região. <>FQDN*.queue.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Armazenamento de Tabelas do AzureAzure Table Storage *. Table. <> de região. <>FQDN*.table.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Armazenamento do Blobs do AzureAzure Blob Storage *. blob. <> de região. <>FQDN*.blob.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Provedor de recursos SQLSQL Resource Provider sqladapter. dbadapter. <> de região. <>FQDNsqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
Provedor de recursos MySQLMySQL Resource Provider mysqladapter.dbadapter. <> de região. <>FQDNmysqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
Serviço de aplicativo do AzureAzure App Service *. appservice. <> de região. <>FQDN*.appservice.<region>.<fqdn> TCPTCP 80 (HTTP)80 (HTTP)
443 (HTTPS)443 (HTTPS)
8172 (MSDeploy)8172 (MSDeploy)
*. SCM. appservice. <> de região. <>FQDN*.scm.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
API. appservice. <> de região. <>FQDNapi.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
44300 (Azure Resource Manager)44300 (Azure Resource Manager)
FTP. appservice. <> de região. <>FQDNftp.appservice.<region>.<fqdn> TCP, UDPTCP, UDP 21, 1021, 10001-10100 (FTP)21, 1021, 10001-10100 (FTP)
990 (FTPS)990 (FTPS)
Gateway de VPN do AzureAzure VPN Gateway Consulte as perguntas frequentes do gateway de VPNSee the VPN Gateway FAQ