Integração da redeNetwork integration

Este artigo abrange a integração da rede Azure Stack para o Azure Modular Datacenter.This article covers Azure Stack network integration for Azure Modular Datacenter.

O planeamento da integração da rede é um pré-requisito importante para a implementação, operação e gestão integradas bem sucedidas do Azure Stack.Network integration planning is an important prerequisite for successful Azure Stack integrated systems deployment, operation, and management. O planeamento da conectividade fronteiriça começa por escolher se pretende utilizar o encaminhamento dinâmico com o Protocolo de Gateway fronteiriço (BGP) ou o encaminhamento estático.Border connectivity planning begins by choosing if you want to use dynamic routing with the Border Gateway Protocol (BGP) or static routing. O encaminhamento dinâmico requer que atribua um número de sistema autónomo BGP de 16 bits (público ou privado).Dynamic routing requires that you assign a 16-bit BGP autonomous system number (public or private). O encaminhamento estático usa uma rota estática padrão que é atribuída aos dispositivos fronteiriços.Static routing uses a static default route that's assigned to the border devices.

Os interruptores de borda requerem ligações da Camada 3 com IPs ponto-a-ponto (/30 redes) configurados nas interfaces físicas.The edge switches require Layer 3 uplinks with point-to-point IPs (/30 networks) configured on the physical interfaces. As ligações da Camada 2 com interruptores de borda que suportam as operações do Azure Stack não são suportadas.Layer 2 uplinks with edge switches supporting Azure Stack operations isn't supported.

Encaminhamento BGPBGP routing

A utilização de um protocolo de encaminhamento dinâmico como o BGP garante que o seu sistema está sempre ciente das alterações de rede e facilita a administração.Using a dynamic routing protocol like BGP guarantees that your system is always aware of network changes and facilitates administration. Para uma maior segurança, pode definir uma palavra-passe no BGP que espreita entre a borda e a fronteira.For enhanced security, you can set a password on the BGP peering between the edge and the border.

Como mostrado no diagrama seguinte, a publicidade do espaço IP privado no interruptor topo de rack (TOR) é bloqueada utilizando uma lista de prefixos.As shown in the following diagram, advertising of the private IP space on the top-of-rack (TOR) switch is blocked by using a prefix list. A lista de prefixos nega a publicidade da rede privada, e é aplicada como um mapa de rota na ligação entre o TOR e a borda.The prefix list denies the advertisement of the private network, and it's applied as a route map on the connection between the TOR and the edge.

O equilibrador de carga de software (SLB) que funciona dentro da solução Azure Stack pares para os dispositivos TOR para que possa anunciar dinamicamente os endereços VIP.The software load balancer (SLB) running inside the Azure Stack solution peers to the TOR devices so it can dynamically advertise the VIP addresses.

Para garantir que o tráfego de utilizador recupere de forma imediata e transparente da falha, a nuvem privada virtual ou a agregação de ligações multi-chassis (MLAG) configuradas entre os dispositivos TOR permite a utilização de MLAG para os anfitriões e HSRP ou VRRP que fornece redundância de rede para as redes IP.To ensure that user traffic immediately and transparently recovers from failure, the virtual private cloud or multi-chassis link aggregation (MLAG) configured between the TOR devices allows the use of MLAG to the hosts and HSRP or VRRP that provides network redundancy for the IP networks.

Encaminhamento estáticoStatic routing

O encaminhamento estático requer uma configuração adicional para os dispositivos fronteiriços.Static routing requires additional configuration to the border devices. Requer mais intervenção e gestão manual, bem como uma análise minuciosa antes de qualquer alteração.It requires more manual intervention and management as well as thorough analysis before any change. Problemas causados por um erro de configuração podem demorar mais tempo a retrocedê-lo dependendo das alterações efetuadas.Issues caused by a configuration error might take more time to roll back depending on the changes made. Não recomendamos este método de encaminhamento, mas é suportado.We don't recommend this routing method, but it's supported.

Para integrar o Azure Stack no seu ambiente de networking utilizando o encaminhamento estático, as quatro ligações físicas entre a fronteira e o dispositivo de borda devem ser ligadas.To integrate Azure Stack into your networking environment by using static routing, all four physical links between the border and the edge device must be connected. A alta disponibilidade não pode ser garantida devido ao funcionamento estático.High availability can't be guaranteed because of how static routing works.

O dispositivo fronteiriço deve ser configurado com rotas estáticas que apontam para cada um dos quatro IPs ponto-a-ponto situados entre a borda e a fronteira para o tráfego destinado a qualquer rede dentro da Pilha Azure.The border device must be configured with static routes pointing to each one of the four point-to-point IPs set between the edge and the border for traffic destined to any network inside Azure Stack. Mas, apenas a rede VIP externa ou pública é necessária para o funcionamento.But, only the external or public VIP network is required for operation. São necessárias rotas estáticas para o BMC e para as redes externas para a implantação inicial.Static routes to the BMC and the external networks are required for initial deployment. Os operadores podem optar por deixar rotas estáticas na fronteira para aceder a recursos de gestão que residem no BMC e na rede de infraestruturas.Operators can choose to leave static routes in the border to access management resources that reside on the BMC and the infrastructure network. É opcional adicionar rotas estáticas para mudar de infraestrutura e redes de gestão de interruptores.Adding static routes to switch infrastructure and switch management networks is optional.

Os dispositivos TOR são configurados com uma rota estática por defeito enviando todo o tráfego para os dispositivos fronteiriços.The TOR devices are configured with a static default route sending all traffic to the border devices. A única exceção ao tráfego à regra padrão é para o espaço privado, que é bloqueado através de uma lista de controlo de acesso aplicada na ligação TOR-to-border.The one traffic exception to the default rule is for the private space, which is blocked by using an access control list applied on the TOR-to-border connection.

O encaminhamento estático aplica-se apenas às ligações entre os interruptores de borda e de fronteira.Static routing applies only to the uplinks between the edge and border switches. O encaminhamento dinâmico BGP é utilizado dentro da cremalheira porque é uma ferramenta essencial para o SLB e outros componentes e não pode ser desativado ou removido.BGP dynamic routing is used inside the rack because it's an essential tool for the SLB and other components and can't be disabled or removed.

* A rede BMC é opcional após a implantação.* The BMC network is optional after deployment.

** A rede de infraestruturas de comutação é opcional porque toda a rede pode ser incluída na rede de gestão de comutadores.** The switch infrastructure network is optional because the whole network can be included in the switch management network.

*** A rede de gestão de comutadores é necessária e pode ser adicionada separadamente da rede de infraestruturas de comutação.*** The switch management network is required and can be added separately from the switch infrastructure network.

Procuração transparenteTransparent proxy

Se o seu datacenter necessitar de todo o tráfego para utilizar um representante, tem de configurar um representante transparente para processar todo o tráfego da prateleira para o manusear de acordo com a política.If your datacenter requires all traffic to use a proxy, you must configure a transparent proxy to process all traffic from the rack to handle it according to policy. Deve separar o tráfego entre as zonas da sua rede.You must separate traffic between the zones on your network.

A solução Azure Stack não suporta proxies web normais.The Azure Stack solution doesn't support normal web proxies.

Um proxy transparente (também conhecido como interceptamento, inline ou procuração forçada) interceta a comunicação normal na camada de rede sem exigir qualquer configuração especial do cliente.A transparent proxy (also known as an intercepting, inline, or forced proxy) intercepts normal communication at the network layer without requiring any special client configuration. Os clientes não precisam de estar cientes da existência do representante.Clients don't need to be aware of the existence of the proxy.

A interceção de tráfego SSL não é suportada e pode levar a falhas de serviço no acesso aos pontos finais.SSL traffic interception isn't supported and can lead to service failures when accessing endpoints. O tempo limite máximo suportado para comunicar com os pontos finais necessários para a identidade é de 60 segundos com três tentativas de repetição.The maximum supported timeout to communicate with endpoints required for identity is 60 seconds with three retry attempts.

DNSDNS

Esta secção abrange a configuração do Sistema de Nome de Domínio (DNS).This section covers Domain Name System (DNS) configuration.

Configure o encaminhamento de DNS condicionalConfigure conditional DNS forwarding

Esta orientação aplica-se apenas a uma implantação de Serviços da Federação de Diretórios Ativos (AD FS).This guidance only applies to an Active Directory Federation Services (AD FS) deployment.

Para ativar a resolução de nomes com a sua infraestrutura DNS existente, configurar o encaminhamento condicional.To enable name resolution with your existing DNS infrastructure, configure conditional forwarding.

Para adicionar um reencaminhador condicional, deve utilizar o ponto final privilegiado.To add a conditional forwarder, you must use the privileged endpoint.

Para este procedimento, utilize um computador na sua rede de datacenter que possa comunicar com o ponto final privilegiado em Azure Stack.For this procedure, use a computer in your datacenter network that can communicate with the privileged endpoint in Azure Stack.

  1. Abra uma sessão elevada do Windows PowerShell (executada como administrador).Open an elevated Windows PowerShell session (run as administrator). Ligue-se ao endereço IP do ponto final privilegiado.Connect to the IP address of the privileged endpoint. Utilize as credenciais para autenticação CloudAdmin.Use the credentials for CloudAdmin authentication.

    \$cred=Get-Credential Enter-PSSession -ComputerName \<IP Address of ERCS\> -ConfigurationName PrivilegedEndpoint -Credential \$cred 
    
  2. Depois de ligar ao ponto final privilegiado, corram o seguinte comando PowerShell.After you connect to the privileged endpoint, run the following PowerShell command. Substitua os valores da amostra fornecidos com o seu nome de domínio e endereços IP dos servidores DNS que pretende utilizar.Substitute the sample values provided with your domain name and IP addresses of the DNS servers you want to use.

    Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2" 
    

Resolver nomes DNS da Azure Stack de fora da Pilha AzureResolve Azure Stack DNS names from outside Azure Stack

Os servidores autoritários são os que detêm as informações externas da zona de DNS e quaisquer zonas criadas pelo utilizador.The authoritative servers are the ones that hold the external DNS zone information and any user-created zones. Integre-se com estes servidores para permitir a delegação de zona ou o encaminhamento condicional para resolver os nomes DNS do Azure Stack de fora da Azure Stack.Integrate with these servers to enable zone delegation or conditional forwarding to resolve Azure Stack DNS names from outside Azure Stack.

Obtenha informações de ponto final externo do DNS ServerGet DNS Server external endpoint information

Para integrar a sua implementação Azure Stack com a sua infraestrutura DNS, precisa das seguintes informações:To integrate your Azure Stack deployment with your DNS infrastructure, you need the following information:

  • Servidor DNS nomes de domínio totalmente qualificados (FQDNs)DNS server fully qualified domain names (FQDNs)
  • Endereços IP do servidor DNSDNS server IP addresses

As FQDNs para os servidores DNS da Azure Stack têm o seguinte formato:The FQDNs for the Azure Stack DNS servers have the following format:

  • <NAMINGPREFIX>-ns01. <REGION> . .<EXTERNALDOMAINNAME><NAMINGPREFIX>-ns01.<REGION>.<EXTERNALDOMAINNAME>
  • <NAMINGPREFIX>-ns02. <REGION> . .<EXTERNALDOMAINNAME><NAMINGPREFIX>-ns02.<REGION>.<EXTERNALDOMAINNAME>

Utilizando os valores da amostra, os FQDNs para os servidores DNS são:Using the sample values, the FQDNs for the DNS servers are:

  • azs-ns01.east.cloud.fabrikam.comazs-ns01.east.cloud.fabrikam.com
  • azs-ns02.east.cloud.fabrikam.comazs-ns02.east.cloud.fabrikam.com

Esta informação está disponível no portal de administração, mas também criada no final de todas as implementações do Azure Stack num ficheiro chamado AzureStackStampInformation.jsem.This information is available in the admin portal but also created at the end of all Azure Stack deployments in a file named AzureStackStampInformation.json. Este ficheiro está localizado no C: \ CloudDeployment \ regista a pasta da máquina virtual de implantação.This file is located in the C:\CloudDeployment\logs folder of the deployment virtual machine. Se não tem a certeza de que valores foram usados para a sua implementação Azure Stack, pode obter os valores daqui.If you're not sure what values were used for your Azure Stack deployment, you can get the values from here.

Se a máquina virtual de implantação já não estiver disponível ou estiver inacessível, pode obter os valores ligando-se ao ponto final privilegiado e executando o cmdlet Get-AzureStackStampInformation PowerShell.If the deployment virtual machine is no longer available or is inaccessible, you can obtain the values by connecting to the privileged endpoint and running the Get-AzureStackStampInformation PowerShell cmdlet. Para mais informações, consulte o ponto final privilegiado.For more information, see privileged endpoint.

Configurar o encaminhamento condicional para a Pilha AzureSet up conditional forwarding to Azure Stack

A forma mais simples e segura de integrar o Azure Stack com a sua infraestrutura DNS é fazer o encaminhamento condicional da zona a partir do servidor que hospeda a zona dos pais.The simplest and most secure way to integrate Azure Stack with your DNS infrastructure is to do conditional forwarding of the zone from the server that hosts the parent zone. Recomendamos esta abordagem se tiver controlo direto sobre os servidores DNS que hospedam a zona dos pais para o seu espaço de nomes DNS externos Azure Stack.We recommend this approach if you have direct control over the DNS servers that host the parent zone for your Azure Stack external DNS namespace.

Se não estiver familiarizado com o encaminhamento condicional com o DNS, consulte o artigo da TechNet "Atribua um Remetente Condicional para um Nome de Domínio" ou a documentação específica da sua solução DNS.If you're not familiar with how to do conditional forwarding with DNS, see the TechNet article "Assign a Conditional Forwarder for a Domain Name" or the documentation specific to your DNS solution.

Em cenários em que especificou a sua zona de DNS Azure Stack externa para parecer um domínio infantil do seu nome de domínio corporativo, o reencaminhamento condicional não pode ser usado.In scenarios where you specified your external Azure Stack DNS zone to look like a child domain of your corporate domain name, conditional forwarding can't be used. A delegação do DNS tem de ser configurada.DNS delegation must be configured.

Exemplo:Example:

  • Nome de domínio DNS corporativo: contoso.comCorporate DNS domain name: contoso.com
  • Nome de domínio dNS externo da Stack Azure Stack: azurestack.contoso.comAzure Stack external DNS domain name: azurestack.contoso.com

Editar IPs de reencaminhador DNSEdit DNS forwarder IPs

Os IPs do reencaminhador de DNS são definidos durante a implementação do Azure Stack.DNS forwarder IPs are set during deployment of Azure Stack. Se os IPs de reencaminhamento precisarem de ser atualizados por qualquer motivo, pode editar os valores ligando-os ao ponto final privilegiado e executando os cmdlets Get-AzSDnsForwarder e Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]> ] PowerShell cmdlets.If the forwarder IPs need to be updated for any reason, you can edit the values by connecting to the privileged endpoint and running the Get-AzSDnsForwarder and Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>] PowerShell cmdlets. Para mais informações, consulte o ponto final privilegiado.For more information, see privileged endpoint.

Delege a zona externa de DNS para Azure StackDelegate the external DNS zone to Azure Stack

Para que os nomes dns sejam resolúveis de fora de uma implementação do Azure Stack, é necessário criar uma delegação de DNS.For DNS names to be resolvable from outside an Azure Stack deployment, you need to set up DNS delegation.

Cada entidade de registo tem as suas próprias ferramentas de gestão de DNS para alterar os registos do servidor de nome de um domínio.Each registrar has their own DNS management tools to change the name server records for a domain. Na página de gestão de DNS do registo, edite os registos NS e substitua os registos NS da zona pelos de Azure Stack.In the registrar's DNS management page, edit the NS records and replace the NS records for the zone with the ones in Azure Stack.

A maioria dos registos DNS exige que forneça um mínimo de dois servidores DNS para completar a delegação.Most DNS registrars require you to provide a minimum of two DNS servers to complete the delegation.

FirewallFirewall

O Azure Stack configura endereços IP virtuais (VIPs) para as suas funções de infraestrutura.Azure Stack sets up virtual IP addresses (VIPs) for its infrastructure roles. Estes VIPs são atribuídos a partir do conjunto de endereços IP público.These VIPs are allocated from the public IP address pool. Cada VIP é protegido com uma lista de controlo de acesso (ACL) na camada de rede definida pelo software.Each VIP is secured with an access control list (ACL) in the software-defined network layer. Os ACLs também são usados através dos interruptores físicos (TORs e BMC) para endurecer ainda mais a solução.ACLs are also used across the physical switches (TORs and BMC) to further harden the solution. É criada uma entrada DNS para cada ponto final na zona externa de DNS que é especificada na hora de implementação.A DNS entry is created for each endpoint in the external DNS zone that's specified at deployment time. Por exemplo, o portal do utilizador é atribuído à entrada do porta-anfitrião DNS. <region>.<fqdn>.For example, the user portal is assigned the DNS host entry of portal.<region>.<fqdn>.

O seguinte diagrama arquitetónico mostra as diferentes camadas de rede e ACLs.The following architectural diagram shows the different network layers and ACLs.

O diagrama arquitetónico mostra as diferentes camadas de rede e ACLs.

Portas e URLsPorts and URLs

Para disponibilizar serviços Azure Stack como portais, Gestor de Recursos Azure e DNS para redes externas, deve permitir o tráfego de entrada para estes pontos finais para URLs, portas e protocolos específicos.To make Azure Stack services like portals, Azure Resource Manager, and DNS available to external networks, you must allow inbound traffic to these endpoints for specific URLs, ports, and protocols.

Numa implementação em que um proxy transparente se liga a um servidor de procuração tradicional ou a uma firewall está a proteger a solução, deve permitir portas e URLs específicos para comunicação de entrada e saída.In a deployment where a transparent proxy uplinks to a traditional proxy server or a firewall is protecting the solution, you must allow specific ports and URLs for both inbound and outbound communication. Exemplos incluem portas e URLs para identidade, Azure Stack Hub Marketplace, patch e atualização, registo e dados de utilização.Examples include ports and URLs for identity, Azure Stack Hub Marketplace, patch and update, registration, and usage data.

Comunicação de saídaOutbound communication

O Azure Stack suporta apenas servidores proxy transparentes.Azure Stack supports only transparent proxy servers. Numa implementação com uma ligação transparente de procuração para um servidor de procuração tradicional, deve permitir que as portas e URLs na tabela seguinte para comunicação de saída quando implementar no modo conectado.In a deployment with a transparent proxy uplink to a traditional proxy server, you must allow the ports and URLs in the following table for outbound communication when you deploy in connected mode.

A interceção de tráfego SSL não é suportada e pode levar a falhas de serviço no acesso aos pontos finais.SSL traffic interception isn't supported and can lead to service failures when accessing endpoints. O tempo limite máximo suportado para comunicar com os pontos finais necessários para a identidade é de 60 segundos.The maximum supported timeout to communicate with endpoints required for identity is 60 seconds.

Nota

O Azure Stack não suporta a utilização do Azure ExpressRoute para chegar aos serviços Azure listados na tabela seguinte, porque o ExpressRoute pode não ser capaz de encaminhar o tráfego para todos os pontos finais.Azure Stack doesn't support using Azure ExpressRoute to reach the Azure services listed in the following table because ExpressRoute might not be able to route traffic to all of the endpoints.

ObjetivoPurpose URL de destinoDestination URL ProtocoloProtocol PortasPorts Rede de origemSource network
IdentidadeIdentity AzureAzure
login.windows.netlogin.windows.net
login.microsoftonline.comlogin.microsoftonline.com
graph.windows.netgraph.windows.net
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
www.office.comwww.office.com
ManagementServiceUri = https: / /management.core.windows.netManagementServiceUri = https://management.core.windows.net
ARMUri = https: / /management.azure.comARMUri = https://management.azure.com
https: / / * .msftauth.nethttps://*.msftauth.net
https: / / * .msauth.nethttps://*.msauth.net
https: / / * .msocdn.comhttps://*.msocdn.com
Azure GovernmentAzure Government
https: / /login.microsoftonline.us/https://login.microsoftonline.us/
https: / /graph.windows.net/https://graph.windows.net/
Azure China 21VianetAzure China 21Vianet
https: / /login.chinacloudapi.cn/https://login.chinacloudapi.cn/
https: / /graph.chinacloudapi.cn/https://graph.chinacloudapi.cn/
Azure AlemanhaAzure Germany
https: / /login.microsoftonline.de/https://login.microsoftonline.de/
https: / /graph.cloudapi.de/https://graph.cloudapi.de/
HTTPHTTP
HTTPSHTTPS
8080
443443
VIP Público - /27Public VIP - /27
Rede de infraestruturas públicasPublic infrastructure network
Sindicalização do Azure Stack Hub MarketplaceAzure Stack Hub Marketplace syndication AzureAzure
https://management.azure.comhttps://management.azure.com
https://*.blob.core.windows.nethttps://*.blob.core.windows.net
https://*.azureedge.nethttps://*.azureedge.net
Azure GovernmentAzure Government
https: / /management.usgovcloudapi.net/https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/
Azure China 21VianetAzure China 21Vianet
https: / /management.chinacloudapi.cn/https://management.chinacloudapi.cn/
http://*.blob.core.chinacloudapi.cnhttp://*.blob.core.chinacloudapi.cn
HTTPSHTTPS 443443 VIP Público - /27Public VIP - /27
Patch e atualizaçãoPatch and update https://*.azureedge.nethttps://*.azureedge.net
https: / /aka.ms/azurestackautomaticupdatehttps://aka.ms/azurestackautomaticupdate
HTTPSHTTPS 443443 VIP Público - /27Public VIP - /27
RegistoRegistration AzureAzure
https://management.azure.comhttps://management.azure.com
Azure GovernmentAzure Government
https: / /management.usgovcloudapi.net/https://management.usgovcloudapi.net/
Azure China 21VianetAzure China 21Vianet
https: / /management.chinacloudapi.cnhttps://management.chinacloudapi.cn
HTTPSHTTPS 443443 VIP Público - /27Public VIP - /27
UtilizaçãoUsage AzureAzure
https://*.trafficmanager.nethttps://*.trafficmanager.net
Azure GovernmentAzure Government
https://*.usgovtrafficmanager.nethttps://*.usgovtrafficmanager.net
Azure China 21VianetAzure China 21Vianet
https://*.trafficmanager.cnhttps://*.trafficmanager.cn
HTTPSHTTPS 443443 VIP Público - /27Public VIP - /27
Windows DefenderWindows Defender *.wdcp.microsoft.com*.wdcp.microsoft.com
*.wdcpalt.microsoft.com*.wdcpalt.microsoft.com
*.wd.microsoft.com*.wd.microsoft.com
*.update.microsoft.com*.update.microsoft.com
*.download.microsoft.com*.download.microsoft.com
https: / /www.microsoft.com/pkiops/crlhttps://www.microsoft.com/pkiops/crl
https: / /www.microsoft.com/pkiops/certshttps://www.microsoft.com/pkiops/certs
https: / /crl.microsoft.com/pki/crl/productshttps://crl.microsoft.com/pki/crl/products
https: / /www.microsoft.com/pki/certshttps://www.microsoft.com/pki/certs
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
HTTPSHTTPS 8080
443443
VIP Público - /27Public VIP - /27
Rede de infraestruturas públicasPublic infrastructure network
NTPNTP IP do servidor NTP previsto para implementaçãoIP of NTP server provided for deployment UDPUDP 123123 VIP Público - /27Public VIP - /27
DNSDNS IP do servidor DNS fornecido para implementaçãoIP of DNS server provided for deployment TCPTCP
UDPUDP
5353 VIP Público - /27Public VIP - /27
CRLCRL URL sob pontos de distribuição CRL no seu certificadoURL under CRL Distribution Points on your certificate HTTPHTTP 8080 VIP Público - /27Public VIP - /27
LDAPLDAP Floresta de diretório ativo prevista para integração do Azure GraphActive Directory forest provided for Azure Graph integration TCPTCP
UDPUDP
389389 VIP Público - /27Public VIP - /27
LDAP SSLLDAP SSL Floresta de diretório ativo prevista para integração de gráficosActive Directory forest provided for Graph integration TCPTCP 636636 VIP Público - /27Public VIP - /27
LDAP GCLDAP GC Floresta de diretório ativo prevista para integração de gráficosActive Directory forest provided for Graph integration TCPTCP 32683268 VIP Público - /27Public VIP - /27
LDAP GC SSLLDAP GC SSL Floresta de diretório ativo prevista para integração de gráficosActive Directory forest provided for Graph integration TCPTCP 32693269 VIP Público - /27Public VIP - /27
AD FSAD FS Ponto final de metadados AD FS previsto para integração AD FSAD FS metadata endpoint provided for AD FS integration TCPTCP 443443 VIP Público - /27Public VIP - /27
Serviço de recolha de registos de diagnósticoDiagnostic log collection service URL de assinatura de acesso partilhado fornecido por Azure BlobAzure Blob Storage-provided shared access signature URL HTTPSHTTPS 443443 VIP Público - /27Public VIP - /27

Comunicação de entradaInbound communication

É necessário um conjunto de VIPs de infraestrutura para a publicação de pontos finais do Azure Stack para redes externas.A set of infrastructure VIPs is required for publishing Azure Stack endpoints to external networks. A tabela Endpoint (VIP) mostra cada ponto final, a porta necessária e o protocolo.The Endpoint (VIP) table shows each endpoint, the required port, and protocol. Para pontos finais que requerem fornecedores de recursos adicionais, como o fornecedor de recursos SQL, consulte a documentação específica de implementação do fornecedor de recursos.For endpoints that require additional resource providers, like the SQL resource provider, see the specific resource provider deployment documentation.

Os VIPs de infraestrutura interna não estão listados porque não são necessários para a publicação do Azure Stack.Internal infrastructure VIPs aren't listed because they're not required for publishing Azure Stack. Os VIPs do utilizador são dinâmicos e definidos pelos próprios utilizadores, sem controlo por parte do operador Azure Stack.User VIPs are dynamic and defined by the users themselves, with no control by the Azure Stack operator.

Nota

IKEv2 VPN é uma solução VPN VPN baseada em padrões que utiliza a porta UDP 500 e 4500 e a porta TCP 50.IKEv2 VPN is a standards-based IPsec VPN solution that uses UDP port 500 and 4500 and TCP port 50. As firewalls nem sempre abrem estas portas, por isso um VPN IKEv2 pode não ser capaz de atravessar proxies e firewalls.Firewalls don't always open these ports, so an IKEv2 VPN might not be able to traverse proxies and firewalls.

Ponto final (VIP)Endpoint (VIP) DNS acolhe um discoDNS host A record ProtocoloProtocol PortasPorts
AD FSAD FS O ADFS. <> região. < fqdn>Adfs.<region>.<fqdn> HTTPSHTTPS 443443
Portal Azure (administrador)Azure portal (administrator) Adminportal. <> região. < fqdn>Adminportal.<region>.<fqdn> HTTPSHTTPS 443443
AdminhostingAdminhosting *.adminhosting. <region> .<fqdn>*.adminhosting.<region>.<fqdn> HTTPSHTTPS 443443
Gestor de Recursos Azure (administrador)Azure Resource Manager (administrator) Administração. <> região. < fqdn>Adminmanagement.<region>.<fqdn> HTTPSHTTPS 443443
Portal Azure (utilizador)Azure portal (user) Portal, portal. <> região. < fqdn>Portal.<region>.<fqdn> HTTPSHTTPS 443443
Gestor de Recursos Azure (utilizador)Azure Resource Manager (user) A gerência. <> região. < fqdn>Management.<region>.<fqdn> HTTPSHTTPS 443443
Gráfico de AzureAzure Graph O gráfico. <> região. < fqdn>Graph.<region>.<fqdn> HTTPSHTTPS 443443
Lista de revogação de certificadosCertificate revocation list Região de < Crl.>. < fqdn>Crl.<region>.<fqdn> HTTPHTTP 8080
DNSDNS *. <> região. < fqdn>*.<region>.<fqdn> TCP & UDPTCP & UDP 5353
HostingHosting *.hosting. <region><fqdn>*.hosting.<region>.<fqdn> HTTPSHTTPS 443443
Cofre de chaves Azure (utilizador)Azure Key Vault (user) *.cofre. <> região. < fqdn>*.vault.<region>.<fqdn> HTTPSHTTPS 443443
Cofre de Chaves Azure (administrador)Azure Key Vault (administrator) *.adminvault. <> região. < fqdn>*.adminvault.<region>.<fqdn> HTTPSHTTPS 443443
Armazenamento de Filas do AzureAzure Queue Storage *.fila. <> região. < fqdn>*.queue.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Table Storage do AzureAzure Table Storage *.mesa. <> região. < fqdn>*.table.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Armazenamento de Blobs do AzureAzure Blob Storage *.blob. <> região. < fqdn>*.blob.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Fornecedor de Recursos SQLSQL Resource Provider sqladapter.dbadapter. <> região. < fqdn>sqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
Provedor de Recursos MySQLMySQL Resource Provider mysqladapter.dbadapter. <> região. < fqdn>mysqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
Serviço de Aplicações do AzureAzure App Service *.appservice. <> região. < fqdn>*.appservice.<region>.<fqdn> TCPTCP 80 (HTTP)80 (HTTP)
443 (HTTPS)443 (HTTPS)
8172 (MSDeploy)8172 (MSDeploy)
*.scm.appservice. <> região. < fqdn>*.scm.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
api.appservice. <> região. < fqdn>api.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
44300 (Gestor de Recursos Azure)44300 (Azure Resource Manager)
ftp.appservice. <> região. < fqdn>ftp.appservice.<region>.<fqdn> TCP, UDPTCP, UDP 21, 1021, 10001-10100 (FTP)21, 1021, 10001-10100 (FTP)
990 (FTPS)990 (FTPS)
Gateway de VPN do AzureAzure VPN Gateway Ver o VPN Gateway FAQSee the VPN Gateway FAQ