Publicar Azure Stack Hub serviços em seu datacenter

Azure Stack Hub configura VIPs (endereços IP virtuais) para suas funções de infraestrutura. Esses VIPs são alocados do pool de endereços IP públicos. Cada VIP é protegido com uma ACL (lista de controle de acesso) na camada de rede definida pelo software. As ACLs também são usadas entre os comutadores físicos (TORs e BMC) para proteger ainda mais a solução. Uma entrada DNS é criada para cada ponto de extremidade na zona DNS externa especificada no momento da implantação. Por exemplo, o portal do usuário recebe a entrada do host DNS do portal. região > . < fqdn >.

O diagrama de arquitetura a seguir mostra as diferentes camadas de rede e ACLs:

Diagrama mostrando diferentes camadas de rede e ACLs

Portas e URLs

Para disponibilizar Azure Stack Hub serviços (como portais, Azure Resource Manager, DNS e assim por diante) para redes externas, você deve permitir o tráfego de entrada para esses pontos de extremidade para URLs, portas e protocolos específicos.

Em uma implantação em que um proxy transparente se esvincula para um servidor proxy tradicional ou um firewall está protegendo a solução, você deve permitir portas e URLs específicas para comunicação de entrada e saída. Isso inclui portas e URLs para identidade, marketplace, patch e atualização, registro e dados de uso.

Não há suporte para interceptação de tráfego SSL e pode levar a falhas de serviço ao acessar pontos de extremidade.

Portas e protocolos (entrada)

Um conjunto de VIPs de infraestrutura é necessário para publicar Azure Stack Hub pontos de extremidade em redes externas. A tabela ponto de extremidade (VIP) mostra cada ponto de extremidade, a porta necessária e o protocolo. Consulte a documentação de implantação específica do provedor de recursos para pontos de extremidade que exigem provedores de recursos adicionais, como o provedor SQL de recursos.

VIPs de infraestrutura interna não são listados porque não são necessários para publicar Azure Stack Hub. Os VIPs de usuário são dinâmicos e definidos pelos próprios usuários, sem controle pelo operador Azure Stack Hub usuário.

Com a adição do Host de Extensão,as portas no intervalo de 12495 a 30015 não são necessárias.

Ponto de extremidade (VIP) Registro A do host DNS Protocolo Portas
AD FS Adfs. região > . < Fqdn > HTTPS 443
Portal (administrador) Adminportal. região > . < Fqdn > HTTPS 443
Adminhosting *.adminhosting. < região > . < Fqdn> HTTPS 443
Azure Resource Manager (administrador) Adminmanagement. região > . < Fqdn > HTTPS 443
Portal (usuário) Portal. região > . < Fqdn > HTTPS 443
Azure Resource Manager (usuário) Gestão. região > . < Fqdn > HTTPS 443
Grafo Graph. região > . < Fqdn > HTTPS 443
Lista de certificados revogados Crl. região > . < Fqdn > HTTP 80
DNS *. região > . < Fqdn > TCP & UDP 53
Hosting *.hosting. < região > . < Fqdn> HTTPS 443
Key Vault (usuário) *.vault. região > . < Fqdn > HTTPS 443
Key Vault (administrador) *.adminvault. região > . < Fqdn > HTTPS 443
Fila de Armazenamento *.queue. região > . < Fqdn > HTTP
HTTPS
80
443
Tabela de Armazenamento *.table. região > . < Fqdn > HTTP
HTTPS
80
443
Blob de Armazenamento *.blob. região > . < Fqdn > HTTP
HTTPS
80
443
provedor SQL de recursos sqladapter.dbadapter. região > . < Fqdn > HTTPS 44300-44304
Provedor de Recursos do MySQL mysqladapter.dbadapter. região > . < Fqdn > HTTPS 44300-44304
Serviço de Aplicativo *. appservice. região > . < FQDN > TCP 80 (HTTP)
443 (HTTPS)
8172 (MSDeploy)
*. SCM. appservice. região > . < FQDN > TCP 443 (HTTPS)
API. appservice. região > . < FQDN > TCP 443 (HTTPS)
44300 (Azure Resource Manager)
FTP. appservice. região > . < FQDN > TCP, UDP 21, 1021, 10001-10100 (FTP)
990 (FTPS)
Gateways VPN Protocolo IP 50 & UDP Carga de segurança de encapsulamento (ESP) IPSec & UDP 500 e 4500

Portas e URLs (saída)

O Hub de Azure Stack dá suporte apenas a servidores proxy transparentes. Em uma implantação com um uplink de proxy transparente para um servidor proxy tradicional, você deve permitir as portas e URLs na tabela a seguir para a comunicação de saída. Para obter mais informações sobre como configurar servidores proxy transparentes, consulte proxy transparente para o Hub de Azure Stack.

A interceptação de tráfego SSL não tem suporte e pode levar a falhas de serviço ao acessar pontos de extremidade. O tempo limite máximo com suporte para se comunicar com pontos de extremidade necessários para a identidade é 60.

Observação

O Hub de Azure Stack não dá suporte ao uso do ExpressRoute para acessar os serviços do Azure listados na tabela a seguir, pois o ExpressRoute pode não ser capaz de rotear o tráfego para todos os pontos de extremidade.

Finalidade URL de destino Protocolo/portas Rede de origem Requisito
Identidade
permite que Azure Stack Hub se conecte a Azure Active Directory para & autenticação do serviço de usuário.
Azure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure Governamental
https://login.microsoftonline.us/
https://graph.windows.net/
Azure China 21Vianet
https://login.chinacloudapi.cn/
https://graph.chinacloudapi.cn/
Azure Alemanha
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP 80,
HTTPS 443
VIP público-/27
Rede de infraestrutura pública
Obrigatório para uma implantação conectada.
Distribuição do Marketplace
Permite baixar itens para Azure Stack Hub do Marketplace e disponibilizá-los para todos os usuários usando o ambiente de Hub de Azure Stack.
Azure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure Governamental
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
Azure China 21Vianet
https://management.chinacloudapi.cn/
http://*.blob.core.chinacloudapi.cn
HTTPS 443 VIP público-/27 Não necessário. Use as instruções do cenário desconectado para carregar imagens no Hub Azure Stack.
Atualização do patch
Quando conectado a pontos de extremidade de atualização, Azure Stack atualizações e hotfixes de software do hub são exibidos como disponíveis para download.
https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 VIP público-/27 Não necessário. Use as instruções de conexão de implantação desconectada para baixar e preparar manualmente a atualização.
Registro
Permite registrar Azure Stack Hub com o Azure para baixar itens do Azure Marketplace e configurar o relatório de dados de comércio de volta à Microsoft.
Azure
https://management.azure.com
Azure Governamental
https://management.usgovcloudapi.net/
Azure China 21Vianet
https://management.chinacloudapi.cn
HTTPS 443 VIP público-/27 Não necessário. Você pode usar o cenário desconectado para registro offline.
Usage
Permite que os operadores de Hub de Azure Stack configurem sua instância de Azure Stack Hub para relatar dados de uso para o Azure.
Azure
https://*.trafficmanager.net
Azure Governamental
https://*.usgovtrafficmanager.net
Azure China 21Vianet
https://*.trafficmanager.cn
HTTPS 443 VIP público-/27 Necessário para o modelo de licenciamento baseado em consumo de Hub Azure Stack.
Windows Defender
Permite que o provedor de recursos de atualização Baixe definições de antimalware e atualizações de mecanismo várias vezes por dia.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.com
HTTPS 80, 443 VIP público-/27
Rede de infraestrutura pública
Não necessário. Você pode usar o cenário desconectado para atualizar arquivos de assinatura de antivírus.
NTP
Permite que Azure Stack Hub se conecte a servidores de horário.
(IP do servidor NTP fornecido para implantação) UDP 123 VIP público-/27 Obrigatório
DNS
Permite que Azure Stack Hub se conecte ao encaminhador do servidor DNS.
(IP do servidor DNS fornecido para implantação) TCP & UDP 53 VIP público-/27 Obrigatório
SYSLOG
Permite que Azure Stack Hub Envie mensagem syslog para fins de monitoramento ou segurança.
(IP do servidor SYSLOG fornecido para implantação) TCP 6514,
UDP 514
VIP público – /27 Opcional
CRL
Permite Azure Stack Hub validar certificados e verificar se há certificados revogados.
(URL em Pontos de Distribuição de CRL em seu certificado)
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTP 80 VIP público – /27 Não necessário. Melhor prática de segurança altamente recomendada.
LDAP
Permite Azure Stack Hub se comunicar com o Microsoft Active Directory local.
Floresta do Active Directory fornecida para Graph integração TCP & UDP 389 VIP público – /27 Necessário quando o Azure Stack Hub é implantado usando AD FS.
LDAP SSL
Permite Azure Stack Hub se comunicar criptografada com o Microsoft Active Directory local.
Floresta do Active Directory fornecida para Graph integração TCP 636 VIP público – /27 Necessário quando o Azure Stack Hub é implantado usando AD FS.
LDAP GC
Permite que Azure Stack Hub se comunique com os Servidores de Catálogo Global Do Microsoft Active.
Floresta do Active Directory fornecida para Graph integração TCP 3268 VIP público – /27 Necessário quando o Azure Stack Hub é implantado usando AD FS.
LDAP GC SSL
Permite que Azure Stack Hub se comunique criptografada com servidores de catálogo globais do Microsoft Active Directory.
Floresta do Active Directory fornecida para Graph integração TCP 3269 VIP público – /27 Necessário quando o Azure Stack Hub é implantado usando AD FS.
AD FS
Permite Azure Stack Hub se comunicar com o AD FS.
AD FS ponto de extremidade de metadados fornecido para AD FS integração TCP 443 VIP público – /27 Opcional. A AD FS do provedor de declarações pode ser criada usando um arquivo de metadados.
Coleta de log de diagnóstico
Permite Azure Stack Hub enviar logs de forma proativa ou manual por um operador para o suporte da Microsoft.
https://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPS 443 VIP público – /27 Não necessário. Você pode salvar logs localmente.
Telemetria
Permite Azure Stack Hub enviar dados de telemetria para a Microsoft.
https://settings-win.data.microsoft.com
https://login.live.com
*.events.data.microsoft.com
HTTPS 443 VIP público – /27 Necessário quando Azure Stack Hub telemetria está habilitada.

As URLs de saída têm balanceamento de carga usando o Gerenciador de Tráfego do Azure para fornecer a melhor conectividade possível com base na localização geográfica. Com URLs com balanceamento de carga, a Microsoft pode atualizar e alterar pontos de extremidade de back-end sem afetar os clientes. A Microsoft não compartilha a lista de endereços IP para as URLs com balanceado de carga. Use um dispositivo que dá suporte à filtragem por URL em vez de por IP.

O DNS de saída é necessário em todos os momentos; o que varia é a origem que consulta o DNS externo e qual tipo de integração de identidade foi escolhido. Durante a implantação de um cenário conectado, o DVM que fica na rede BMC precisa de acesso de saída. Mas, após a implantação, o serviço DNS passa para um componente interno que enviará consultas por meio de um VIP público. Nesse momento, o acesso DNS de saída por meio da rede BMC pode ser removido, mas o acesso VIP público a esse servidor DNS deve permanecer ou a autenticação falhará.

Próximas etapas

Azure Stack Hub requisitos de PKI