Publicar serviços do Azure Stack Hub em seu datacenter – MDC (Modular Data Center)

O Azure Stack Hub configura VIPs (endereços IP virtuais) para suas funções de infraestrutura. Esses VIPs são alocados do pool de endereços IP público. Cada VIP é protegido com uma ACL (lista de controle de acesso) na camada de rede definida pelo software. As ACLs também são usadas entre as opções físicas (TORs e BMC) para proteger ainda mais a solução. Uma entrada DNS é criada para cada ponto de extremidade na zona DNS externa especificada no momento da implantação. Por exemplo, o portal do usuário recebe a entrada de host DNS do portal. <região>.< fqdn>.

O diagrama de arquitetura a seguir mostra as diferentes camadas de rede e ACLs:

Diagram showing different network layers and ACLs

Portas e URLs

Para disponibilizar serviços do Azure Stack Hub (como os portais, Resource Manager do Azure, DNS e assim por diante) para redes externas, você deve permitir o tráfego de entrada para esses pontos de extremidade para URLs, portas e protocolos específicos.

Em uma implantação em que um proxy transparente é uplinks para um servidor proxy tradicional ou um firewall está protegendo a solução, você deve permitir portas e URLs específicas para comunicação de entrada e saída . Elas incluem portas e URLs para identidade, marketplace, patch e atualização, registro e dados de uso.

Não há suporte para interceptação de tráfego SSL e pode levar a falhas de serviço ao acessar pontos de extremidade.

Portas e protocolos (entrada)

Um conjunto de VIPs de infraestrutura é necessário para publicar pontos de extremidade do Azure Stack Hub em redes externas. A tabela ponto de extremidade (VIP) mostra cada ponto de extremidade, a porta necessária e o protocolo. Consulte a documentação específica de implantação do provedor de recursos para pontos de extremidade que exigem provedores de recursos adicionais, como o provedor de recursos SQL.

OS VIPs de infraestrutura interna não estão listados porque não são necessários para publicar o Azure Stack Hub. Os VIPs do usuário são dinâmicos e definidos pelos próprios usuários, sem controle pelo operador do Azure Stack Hub.

Observação

A VPN IKEv2 é uma solução VPN IPsec baseada em padrões que usa a porta UDP 500 e 4500 e a porta TCP 50. Os firewalls nem sempre abrem essas portas, portanto, uma VPN IKEv2 pode não ser capaz de percorrer proxies e firewalls.

Com a adição do Host de Extensão, as portas no intervalo de 12495-30015 não são necessárias.

Ponto de extremidade (VIP) Registro A do host DNS Protocolo Portas
AD FS Adfs. <região>.< Fqdn> HTTPS 443
Portal (administrador) Adminportal. <região>.< Fqdn> HTTPS 443
Adminhosting *.adminhosting.< região>.< Fqdn> HTTPS 443
Azure Resource Manager (administrador) Adminmanagement. <região>.< Fqdn> HTTPS 443
Portal (usuário) Portal. <região>.< Fqdn> HTTPS 443
Azure Resource Manager (usuário) Gestão. <região>.< Fqdn> HTTPS 443
Grafo Graph. <região>.< Fqdn> HTTPS 443
Lista de revogação de certificado Crl.region<.<> Fqdn> HTTP 80
DNS *. <região>.< Fqdn> TCP & UDP 53
Hosting *.hosting.< região>.< Fqdn> HTTPS 443
Key Vault (usuário) *.vault. <região>.< Fqdn> HTTPS 443
Key Vault (administrador) *.adminvault. <região>.< Fqdn> HTTPS 443
Fila de Armazenamento *.queue. <região>.< Fqdn> HTTP
HTTPS
80
443
Tabela de Armazenamento *.table. <região>.< Fqdn> HTTP
HTTPS
80
443
Blob de Armazenamento *.blob. <região>.< Fqdn> HTTP
HTTPS
80
443
provedor de recursos SQL sqladapter.dbadapter. <região>.< Fqdn> HTTPS 44300-44304
Provedor de Recursos MySQL mysqladapter.dbadapter. <região>.< Fqdn> HTTPS 44300-44304
Serviço de Aplicativo *.appservice. <região>.< Fqdn> TCP 80 (HTTP)
443 (HTTPS)
8172 (MSDeploy)
*.scm.appservice. <região>.< Fqdn> TCP 443 (HTTPS)
api.appservice. <região>.< Fqdn> TCP 443 (HTTPS)
44300 (Resource Manager do Azure)
ftp.appservice. <região>.< Fqdn> TCP, UDP 21, 1021, 10001-10100 (FTP)
990 (FTPS)
Gateways VPN Consulte as perguntas frequentes sobre o gateway de VPN.

Portas e URLs (saída)

O Azure Stack Hub dá suporte apenas a servidores proxy transparentes. Em uma implantação com um uplink de proxy transparente para um servidor proxy tradicional, você deve permitir as portas e URLs na tabela a seguir para comunicação de saída. Para obter mais informações sobre como configurar servidores proxy transparentes, consulte [Proxy transparente para o Azure Stack Hub](.. /.. /operator/azure-stack-transparent-proxy.md).

Não há suporte para interceptação de tráfego SSL e pode levar a falhas de serviço ao acessar pontos de extremidade. O tempo limite máximo com suporte para se comunicar com os pontos de extremidade necessários para a identidade é 60s.

Observação

O Azure Stack Hub não dá suporte ao uso do ExpressRoute para acessar os serviços do Azure listados na tabela a seguir porque o ExpressRoute pode não ser capaz de rotear o tráfego para todos os pontos de extremidade.

Finalidade URL de destino Protocolo/Portas Rede de Origem Requisito
Identidade
Permite que o Azure Stack Hub se conecte ao Azure Active Directory para autenticação do Serviço de Usuário&.
Azure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure Governamental
https://login.microsoftonline.us/
https://graph.windows.net/
Azure Alemanha
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP 80,
HTTPS 443
VIP público - /27
Rede de infraestrutura pública
Obrigatório para uma implantação conectada.
Sindicalização do Marketplace
Permite baixar itens no Azure Stack Hub do Marketplace e disponibilizá-los para todos os usuários usando o ambiente do Azure Stack Hub.
Azure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure Governamental
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
HTTPS 443 VIP público - /27 Não necessário. Use as instruções de cenário desconectadas para carregar imagens no Azure Stack Hub.
Atualização de patch &
Quando conectados aos pontos de extremidade de atualização, as atualizações de software e os hotfixes do Azure Stack Hub são exibidos como disponíveis para download.
https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 VIP público - /27 Não necessário. Use as instruções de conexão de implantação desconectadas para baixar e preparar manualmente a atualização.
Registro
Permite que você registre o Azure Stack Hub no Azure para baixar Azure Marketplace itens e configurar o relatório de dados de comércio de volta para a Microsoft.
Azure
https://management.azure.com
Azure Governamental
https://management.usgovcloudapi.net/
HTTPS 443 VIP público - /27 Não necessário. Você pode usar o cenário desconectado para registro offline.
Usage
Permite que os operadores do Azure Stack Hub configurem sua instância do Azure Stack Hub para relatar dados de uso ao Azure.
Azure
https://*.trafficmanager.net
Azure Governamental
https://*.usgovtrafficmanager.net
HTTPS 443 VIP público - /27 Obrigatório para o modelo de licenciamento baseado em consumo do Azure Stack Hub.
Windows Defender
Permite que o provedor de recursos de atualização baixe as definições de antimalware e as atualizações do mecanismo várias vezes por dia.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.com
HTTPS 80, 443 VIP público - /27
Rede de infraestrutura pública
Não necessário. Você pode usar o cenário desconectado para atualizar arquivos de assinatura antivírus.
NTP
Permite que o Azure Stack Hub se conecte a servidores de tempo.
(IP do servidor NTP fornecido para implantação) UDP 123 VIP público - /27 Obrigatório
DNS
Permite que o Azure Stack Hub se conecte ao encaminhador de servidor DNS.
(IP do servidor DNS fornecido para implantação) TCP & UDP 53 VIP público - /27 Obrigatório
SYSLOG
Permite que o Azure Stack Hub envie uma mensagem de syslog para fins de monitoramento ou segurança.
(IP do servidor SYSLOG fornecido para implantação) TCP 6514,
UDP 514
VIP público - /27 Opcional
CRL
Permite que o Azure Stack Hub valide certificados e verifique se há certificados revogados.
(URL em Pontos de Distribuição de CRL no certificado)
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTP 80 VIP público - /27 Não necessário. Prática recomendada de segurança altamente recomendada.
LDAP
Permite que o Azure Stack Hub se comunique com o Microsoft Active Directory localmente.
Floresta do Active Directory fornecida para integração Graph TCP & UDP 389 VIP público - /27 Obrigatório quando o Azure Stack Hub é implantado usando o AD FS.
LDAP SSL
Permite que o Azure Stack Hub se comunique criptografado com o Microsoft Active Directory local.
Floresta do Active Directory fornecida para integração Graph TCP 636 VIP público - /27 Obrigatório quando o Azure Stack Hub é implantado usando o AD FS.
LDAP GC
Permite que o Azure Stack Hub se comunique com os Servidores do Catálogo Global Ativo da Microsoft.
Floresta do Active Directory fornecida para integração Graph TCP 3268 VIP público - /27 Obrigatório quando o Azure Stack Hub é implantado usando o AD FS.
LDAP GC SSL
Permite que o Azure Stack Hub se comunique criptografado com servidores de catálogo globais do Microsoft Active Directory.
Floresta do Active Directory fornecida para integração Graph TCP 3269 VIP público - /27 Obrigatório quando o Azure Stack Hub é implantado usando o AD FS.
AD FS
Permite que o Azure Stack Hub se comunique com o AD FS local.
Ponto de extremidade de metadados do AD FS fornecido para integração do AD FS TCP 443 VIP público - /27 Opcional. A confiança do provedor de declarações do AD FS pode ser criada usando um arquivo de metadados.
Coleção de logs de diagnóstico
Permite que o Azure Stack Hub envie logs proativa ou manualmente por um operador para o suporte da Microsoft.
https://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPS 443 VIP público - /27 Não necessário. Você pode salvar logs localmente.

As URLs de saída são balanceadas por carga usando o gerenciador de tráfego do Azure para fornecer a melhor conectividade possível com base na localização geográfica. Com URLs com balanceamento de carga, a Microsoft pode atualizar e alterar pontos de extremidade de back-end sem afetar os clientes. A Microsoft não compartilha a lista de endereços IP para as URLs com balanceamento de carga. Use um dispositivo que dê suporte à filtragem por URL e não por IP.

O DNS de saída é necessário o tempo todo; o que varia é a origem consultando o DNS externo e qual tipo de integração de identidade foi escolhido. Durante a implantação de um cenário conectado, o DVM que está na rede BMC precisa de acesso de saída. Mas após a implantação, o serviço DNS passa para um componente interno que enviará consultas por meio de um VIP público. Nesse momento, o acesso DNS de saída por meio da rede BMC pode ser removido, mas o acesso VIP público a esse servidor DNS deve permanecer ou então a autenticação falhará.

Próximas etapas

Requisitos de PKI do Azure Stack Hub