Integração da rede

Este artigo abrange a integração da rede Azure Stack para o Azure Modular Datacenter.

O planeamento de integração de rede é um pré-requisito importante para a implementação, operação e gestão integradas bem sucedidas do Azure Stack. O planeamento da conectividade fronteiriça começa por escolher se pretende utilizar o encaminhamento dinâmico com o Protocolo de Gateway fronteiriço (BGP) ou o encaminhamento estático. O encaminhamento dinâmico requer que atribua um número de sistema autónomo BGP de 16 bits (público ou privado). O encaminhamento estático usa uma rota estática padrão que é atribuída aos dispositivos fronteiriços.

Os interruptores de borda requerem ligações da Camada 3 com IPs ponto a ponto (/30 redes) configurados nas interfaces físicas. As ligações da camada 2 com interruptores de borda que suportam as operações do Azure Stack não são suportadas.

Encaminhamento BGP

A utilização de um protocolo de encaminhamento dinâmico como o BGP garante que o seu sistema está sempre ciente das alterações de rede e facilita a administração. Para uma maior segurança, pode definir uma palavra-passe no BGP que espreita entre a borda e a fronteira.

Como mostrado no diagrama seguinte, a publicidade do espaço IP privado no interruptor topo de rack (TOR) é bloqueada utilizando uma lista de prefixos. A lista de prefixos nega a publicidade da rede privada, e é aplicada como um mapa de rota na ligação entre o TOR e a borda.

O equilibrador de carga de software (SLB) que funciona dentro da solução Azure Stack pares para os dispositivos TOR para que possa anunciar dinamicamente os endereços VIP.

Para garantir que o tráfego de utilizador recupere de forma imediata e transparente da falha, a nuvem privada virtual ou a agregação de ligações multi-chassis (MLAG) configuradas entre os dispositivos TOR permite a utilização de MLAG para os anfitriões e HSRP ou VRRP que fornece redundância de rede para as redes IP.

Encaminhamento estático

O encaminhamento estático requer uma configuração adicional para os dispositivos fronteiriços. Requer mais intervenção e gestão manual, bem como uma análise minuciosa antes de qualquer alteração. Os problemas causados por um erro de configuração podem demorar mais tempo a retrocedê-lo dependendo das alterações efetuadas. Não recomendamos este método de encaminhamento, mas é suportado.

Para integrar o Azure Stack no seu ambiente de networking utilizando o encaminhamento estático, as quatro ligações físicas entre a fronteira e o dispositivo de borda devem ser ligadas. A alta disponibilidade não pode ser garantida devido ao funcionamento estático.

O dispositivo fronteiriço deve ser configurado com rotas estáticas que apontam para cada um dos quatro IPs ponto a ponto situados entre a borda e a fronteira para o tráfego destinado a qualquer rede dentro da Pilha Azure. Mas, apenas a rede VIP externa ou pública é necessária para o funcionamento. São necessárias rotas estáticas para o BMC e para as redes externas para a implantação inicial. Os operadores podem optar por deixar rotas estáticas na fronteira para aceder a recursos de gestão que residem no BMC e na rede de infraestruturas. É opcional a adição de rotas estáticas para mudar de infraestrutura e redes de gestão de interruptores.

Os dispositivos TOR são configurados com uma rota estática por defeito enviando todo o tráfego para os dispositivos fronteiriços. A única exceção de tráfego à regra padrão é para o espaço privado, que é bloqueado através de uma lista de controlo de acesso aplicada na ligação TOR-fronteira.

O encaminhamento estático aplica-se apenas às ligações entre os interruptores de borda e de fronteira. O encaminhamento dinâmico BGP é utilizado dentro da cremalheira porque é uma ferramenta essencial para o SLB e outros componentes e não pode ser desativado ou removido.

* A rede BMC é opcional após a implantação.

** A rede de infraestruturas de comutação é opcional porque toda a rede pode ser incluída na rede de gestão de comutadores.

A rede de gestão de comutação é necessária e pode ser adicionada separadamente da rede de infraestruturas do comutador.

Procuração transparente

Se o seu datacenter necessitar de todo o tráfego para utilizar um representante, tem de configurar um representante transparente para processar todo o tráfego da prateleira para o manusear de acordo com a política. Deve separar o tráfego entre as zonas da sua rede.

A solução Azure Stack não suporta proxies web normais.

Um representante transparente (também conhecido como interceptante, inline ou procuração forçada) interceta a comunicação normal na camada de rede sem exigir qualquer configuração especial do cliente. Os clientes não precisam de estar cientes da existência do representante.

A interceção de tráfego SSL não é suportada e pode levar a falhas de serviço no acesso aos pontos finais. O tempo limite máximo suportado para comunicar com os pontos finais necessários para a identidade é de 60 segundos com três tentativas de repetição.

DNS

Esta secção abrange a configuração do Sistema de Nome de Domínio (DNS).

Configure o encaminhamento de DNS condicional

Esta orientação aplica-se apenas a uma implantação Serviços de Federação do Ative Directory (AD FS) (AD FS).

Para ativar a resolução de nomes com a sua infraestrutura DNS existente, configurar o encaminhamento condicional.

Para adicionar um reencaminhador condicional, deve utilizar o ponto final privilegiado.

Para este procedimento, utilize um computador na sua rede de datacenter que possa comunicar com o ponto final privilegiado em Azure Stack.

  1. Abra uma sessão de Windows PowerShell elevada (executar como administrador). Ligação para o endereço IP do ponto final privilegiado. Utilize as credenciais para autenticação CloudAdmin.

    \$cred=Get-Credential Enter-PSSession -ComputerName \<IP Address of ERCS\> -ConfigurationName PrivilegedEndpoint -Credential \$cred 
    
  2. Depois de ligar ao ponto final privilegiado, executar o seguinte comando PowerShell. Substitua os valores da amostra fornecidos com o seu nome de domínio e endereços IP dos servidores DNS que pretende utilizar.

    Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2" 
    

Resolver nomes DNS da Azure Stack de fora da Pilha Azure

Os servidores autoritários são os que detêm a informação externa da zona de DNS e quaisquer zonas criadas pelo utilizador. Integre estes servidores para permitir a delegação de zona ou encaminhamento condicional para resolver nomes DNS do Azure Stack de fora da Azure Stack.

Obtenha informações de ponto final externo do DNS Server

Para integrar a sua implementação Azure Stack com a sua infraestrutura DNS, necessita das seguintes informações:

  • Servidor DNS nomes de domínio totalmente qualificados (FQDNs)
  • Endereços IP do servidor DNS

As FQDNs para os servidores DNS da Azure Stack têm o seguinte formato:

  • <NOMEAÇÃOPREFIX-ns01>.< REGIÃO>.< EXTERNALDOMAINNAME>
  • <NOMEAÇÃOPREFIX-ns02>.< REGIÃO>.< EXTERNALDOMAINNAME>

Utilizando os valores da amostra, os FQDNs para os servidores DNS são:

  • azs-ns01.east.cloud.fabrikam.com
  • azs-ns02.east.cloud.fabrikam.com

Esta informação está disponível no portal de administração, mas também criada no final de todas as implementações do Azure Stack num ficheiro chamado AzureStackStampInformation.json. Este ficheiro está localizado na pasta C:\CloudDeployment\logs da máquina virtual de implantação. Se não tem a certeza de que valores foram usados para a sua implementação Azure Stack, pode obter os valores daqui.

Se a máquina virtual de implantação já não estiver disponível ou estiver inacessível, pode obter os valores ligando-se ao ponto final privilegiado e executando o cmdlet Get-AzureStackStampInformation PowerShell. Para mais informações, consulte o ponto final privilegiado.

Configurar o encaminhamento condicional para a Pilha Azure

A forma mais simples e segura de integrar o Azure Stack com a sua infraestrutura DNS é fazer o encaminhamento condicional da zona a partir do servidor que acolhe a zona dos pais. Recomendamos esta abordagem se tiver controlo direto sobre os servidores DNS que hospedam a zona dos pais para o seu espaço de nomes DNS externos Azure Stack.

Se não estiver familiarizado com o encaminhamento condicional com o DNS, consulte o artigo da TechNet "Atribua um Remetente Condicional para um Nome de Domínio" ou a documentação específica da sua solução DNS.

Em cenários em que especificou a sua zona de DNS Azure Stack externa para parecer um domínio infantil do seu nome de domínio corporativo, o reencaminhamento condicional não pode ser usado. A delegação do DNS tem de ser configurada.

Exemplo:

  • Nome de domínio DNS corporativo: contoso.com
  • Nome de domínio dNS externo da Stack Azure Stack: azurestack.contoso.com

Editar IPs de reencaminhador DNS

Os IPs do reencaminhador de DNS são definidos durante a implementação do Azure Stack. Se os IPs de reencaminhamento precisarem de ser atualizados por qualquer motivo, pode editar os valores ligando-os ao ponto final privilegiado e executando os cmdlets Get-AzSDnsForwarder e Set-AzSDnsForwarder [[-IPAddress]<>] PowerShell cmdlets. Para mais informações, consulte o ponto final privilegiado.

Delege a zona externa de DNS para Azure Stack

Para que os nomes dns sejam resolúveis de fora de uma implementação do Azure Stack, é necessário criar uma delegação de DNS.

Cada entidade de registo tem as suas próprias ferramentas de gestão de DNS para alterar os registos do servidor de nome de um domínio. Na página de gestão de DNS do registo, edite os registos NS e substitua os registos NS da zona pelos de Azure Stack.

A maioria dos registos DNS exige que forneça um mínimo de dois servidores DNS para completar a delegação.

Firewall

O Azure Stack configura endereços IP virtuais (VIPs) para as suas funções de infraestrutura. Estes VIPs são atribuídos a partir do conjunto de endereços IP público. Cada VIP é protegido com uma lista de controlo de acesso (ACL) na camada de rede definida pelo software. Os ACLs também são usados através dos interruptores físicos (TORs e BMC) para endurecer ainda mais a solução. Uma entrada DE DNS é criada para cada ponto final na zona externa de DNS que é especificada na hora de implementação. Por exemplo, o portal do utilizador é atribuído à entrada do portal do DNS. <região>.< fqdn>.

O seguinte diagrama arquitetónico mostra as diferentes camadas de rede e ACLs.

Architectural diagram shows the different network layers and ACLs.

Portas e URLs

Para disponibilizar serviços Azure Stack como portais, Azure Resource Manager e DNS para redes externas, deve permitir o tráfego de entrada para estes pontos finais para URLs, portas e protocolos específicos.

Numa implementação em que um proxy transparente liga a um servidor de procuração tradicional ou a uma firewall está a proteger a solução, deve permitir portas e URLs específicos para comunicação de entrada e saída. Exemplos incluem portas e URLs para identidade, Azure Stack Hub Marketplace, patch e atualização, registo e dados de utilização.

Comunicação de saída

O Azure Stack suporta apenas servidores proxy transparentes. Numa implementação com uma ligação transparente de procuração para um servidor proxy tradicional, deve permitir que as portas e URLs na tabela seguinte para comunicação de saída quando implementar no modo conectado.

A interceção de tráfego SSL não é suportada e pode levar a falhas de serviço no acesso aos pontos finais. O tempo limite máximo suportado para comunicar com os pontos finais necessários para a identidade é de 60 segundos.

Nota

O Azure Stack não suporta a utilização do Azure ExpressRoute para chegar aos serviços Azure listados na tabela seguinte, porque o ExpressRoute pode não ser capaz de encaminhar o tráfego para todos os pontos finais.

Objetivo URL de destino Protocolo Portas Rede de origem
Identidade Azure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure Government
https://login.microsoftonline.us/
https://graph.windows.net/
Azure China 21Vianet
https://login.chinacloudapi.cn/
https://graph.chinacloudapi.cn/
Azure Alemanha
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP
HTTPS
80
443
VIP Público - /27
Rede de infraestruturas públicas
Sindicalização do Azure Stack Hub Marketplace Azure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure Government
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
Azure China 21Vianet
https://management.chinacloudapi.cn/
http://*.blob.core.chinacloudapi.cn
HTTPS 443 VIP Público - /27
Patch e atualização https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 VIP Público - /27
Registo Azure
https://management.azure.com
Azure Government
https://management.usgovcloudapi.net/
Azure China 21Vianet
https://management.chinacloudapi.cn
HTTPS 443 VIP Público - /27
Utilização Azure
https://*.trafficmanager.net
Azure Government
https://*.usgovtrafficmanager.net
Azure China 21Vianet
https://*.trafficmanager.cn
HTTPS 443 VIP Público - /27
Windows Defender *.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com
https://www.microsoft.com/pkiops/crl
https://www.microsoft.com/pkiops/certs
https://crl.microsoft.com/pki/crl/products
https://www.microsoft.com/pki/certs
https://secure.aadcdn.microsoftonline-p.com
HTTPS 80
443
VIP Público - /27
Rede de infraestruturas públicas
NTP IP do servidor NTP previsto para implementação UDP 123 VIP Público - /27
DNS IP do servidor DNS fornecido para implementação TCP
UDP
53 VIP Público - /27
CRL URL sob pontos de distribuição CRL no seu certificado HTTP 80 VIP Público - /27
LDAP Floresta de Diretório Ativo prevista para integração Graph Azure TCP
UDP
389 VIP Público - /27
LDAP SSL Floresta de diretório ativo prevista para a integração Graph TCP 636 VIP Público - /27
LDAP GC Floresta de diretório ativo prevista para a integração Graph TCP 3268 VIP Público - /27
LDAP GC SSL Floresta de diretório ativo prevista para a integração Graph TCP 3269 VIP Público - /27
AD FS Ponto final de metadados AD FS previsto para integração AD FS TCP 443 VIP Público - /27
Serviço de recolha de registos de diagnóstico URL de assinatura de acesso partilhado fornecido pelo Armazenamento de Blobs do Azure HTTPS 443 VIP Público - /27

Comunicação de entrada

É necessário um conjunto de VIPs de infraestrutura para a publicação de pontos finais do Azure Stack em redes externas. A tabela Endpoint (VIP) mostra cada ponto final, a porta necessária e o protocolo. Para pontos finais que requerem fornecedores de recursos adicionais, como o fornecedor de recursos SQL, consulte a documentação específica de implementação do fornecedor de recursos.

Os VIPs de infraestrutura interna não estão listados porque não são necessários para a publicação do Azure Stack. Os VIPs do utilizador são dinâmicos e definidos pelos próprios utilizadores, sem controlo por parte do operador Azure Stack.

Nota

IKEv2 VPN é uma solução VPN VPN baseada em padrões que utiliza a porta UDP 500 e 4500 e a porta TCP 50. As firewalls nem sempre abrem estas portas, por isso um IKEv2 VPN pode não ser capaz de atravessar proxies e firewalls.

Ponto final (VIP) DNS acolhe um disco Protocolo Portas
AD FS O Adfs. <região>.< fqdn> HTTPS 443
portal do Azure (administrador) Adminportal. <região>.< fqdn> HTTPS 443
Adminhosting *.adminhos.< região>.< fqdn> HTTPS 443
Azure Resource Manager (administrador) Administração. <região>.< fqdn> HTTPS 443
portal do Azure (utilizador) Portal, portal. <região>.< fqdn> HTTPS 443
Azure Resource Manager (utilizador) A gerência. <região>.< fqdn> HTTPS 443
Azure Graph Graph. <região>.< fqdn> HTTPS 443
Lista de revogação de certificados Região de Crl<.<> fqdn> HTTP 80
DNS *. <região>.< fqdn> TCP & UDP 53
Alojamento *.hosting.< região>.< fqdn> HTTPS 443
Azure Key Vault (utilizador) *.cofre. <região>.< fqdn> HTTPS 443
Azure Key Vault (administrador) *.adminvault. <região>.< fqdn> HTTPS 443
Armazenamento de Filas do Azure *.fila. <região>.< fqdn> HTTP
HTTPS
80
443
Armazenamento de Tabelas do Azure *.mesa. <região>.< fqdn> HTTP
HTTPS
80
443
Armazenamento de Blobs do Azure *.blob. <região>.< fqdn> HTTP
HTTPS
80
443
Provedor de Recursos SQL sqladapter.dbadapter. <região>.< fqdn> HTTPS 44300-44304
Provedor de Recursos MySQL mysqladapter.dbadapter. <região>.< fqdn> HTTPS 44300-44304
Serviço de Aplicações do Azure *.appservice. <região>.< fqdn> TCP 80 (HTTP)
443 (HTTPS)
8172 (MSDeploy)
*.scm.appservice. <região>.< fqdn> TCP 443 (HTTPS)
api.appservice. <região>.< fqdn> TCP 443 (HTTPS)
44300 (Azure Resource Manager)
ftp.appservice. <região>.< fqdn> TCP, UDP 21, 1021, 10001-10100 (FTP)
990 (FTPS)
Gateway de VPN do Azure Ver as FAQ Gateway de VPN