Integração de firewall Azure Stack HubAzure Stack Hub firewall integration

Recomenda-se que utilize um dispositivo de firewall para ajudar a proteger o Azure Stack Hub.It's recommended that you use a firewall device to help secure Azure Stack Hub. As firewalls podem ajudar a defender-se de coisas como ataques de negação de serviço distribuídos (DDOS), deteção de intrusões e inspeção de conteúdos.Firewalls can help defend against things like distributed denial-of-service (DDOS) attacks, intrusion detection, and content inspection. No entanto, também podem tornar-se um estrangulamento de produção para serviços de armazenamento Azure, como bolhas, mesas e filas.However, they can also become a throughput bottleneck for Azure storage services like blobs, tables, and queues.

Se for utilizado um modo de implantação desligado, deve publicar o ponto de terminação AD FS.If a disconnected deployment mode is used, you must publish the AD FS endpoint. Para mais informações, consulte o artigo de identidade de integração do datacenter.For more information, see the datacenter integration identity article.

O Gestor de Recursos Azure (administrador), o portal do administrador e os pontos finais do Key Vault (administrador) não requerem necessariamente publicação externa.The Azure Resource Manager (administrator), administrator portal, and Key Vault (administrator) endpoints don't necessarily require external publishing. Por exemplo, como prestador de serviços, pode limitar a superfície de ataque administrando apenas o Azure Stack Hub a partir de dentro da sua rede, e não a partir da internet.For example, as a service provider, you could limit the attack surface by only administering Azure Stack Hub from inside your network, and not from the internet.

Para as organizações empresariais, a rede externa pode ser a rede corporativa existente.For enterprise organizations, the external network can be the existing corporate network. Neste cenário, deve publicar pontos finais para operar o Azure Stack Hub a partir da rede corporativa.In this scenario, you must publish endpoints to operate Azure Stack Hub from the corporate network.

Tradução de endereço de redeNetwork Address Translation

A Tradução de Endereços de Rede (NAT) é o método recomendado para permitir que a máquina virtual de implantação (DVM) aceda a recursos externos e à internet durante a implementação, bem como os VMs da Consola de Recuperação de Emergência (ERCS) ou ponto final privilegiado (PEP) durante o registo e resolução de problemas.Network Address Translation (NAT) is the recommended method to allow the deployment virtual machine (DVM) to access external resources and the internet during deployment as well as the Emergency Recovery Console (ERCS) VMs or privileged endpoint (PEP) during registration and troubleshooting.

O NAT também pode ser uma alternativa aos endereços IP públicos na rede externa ou VIPs públicos.NAT can also be an alternative to Public IP addresses on the external network or public VIPs. No entanto, não é recomendado fazê-lo porque limita a experiência do utilizador do inquilino e aumenta a complexidade.However, it's not recommended to do so because it limits the tenant user experience and increases complexity. Uma opção seria um NAT que ainda requer um IP público por utilizador IP na piscina.One option would be a one to one NAT that still requires one public IP per user IP on the pool. Outra opção é um NAT de muitos a um NAT que requer uma regra NAT por utilizador VIP para todas as portas que um utilizador possa usar.Another option is a many to one NAT that requires a NAT rule per user VIP for all ports a user might use.

Algumas das desvantagens da utilização do NAT para VIP público são:Some of the downsides of using NAT for Public VIP are:

  • A NAT adiciona a sobrecarga ao gerir as regras de firewall porque os utilizadores controlam os seus próprios pontos finais e as suas próprias regras de publicação na pilha de rede definida pelo software (SDN).NAT adds overhead when managing firewall rules because users control their own endpoints and their own publishing rules in the software-defined networking (SDN) stack. Os utilizadores devem contactar o operador Azure Stack Hub para obter os seus VIPs publicados e atualizar a lista de portas.Users must contact the Azure Stack Hub operator to get their VIPs published, and to update the port list.
  • Embora a utilização do NAT limite a experiência do utilizador, confere controlo total ao operador sobre os pedidos de publicação.While NAT usage limits the user experience, it gives full control to the operator over publishing requests.
  • Para cenários híbridos em nuvem com Azure, considere que o Azure não suporta a criação de um túnel VPN para um ponto final usando o NAT.For hybrid cloud scenarios with Azure, consider that Azure doesn't support setting up a VPN tunnel to an endpoint using NAT.

Interceção SSLSSL interception

Atualmente é recomendado para desativar qualquer interceção SSL (por exemplo, descarregamento de desencriptação) em todo o tráfego do Azure Stack Hub.It's currently recommended to disable any SSL interception (for example decryption offloading) on all Azure Stack Hub traffic. Se for suportado em futuras atualizações, serão fornecidas orientações sobre como permitir a interceção SSL para o Azure Stack Hub.If it's supported in future updates, guidance will be provided about how to enable SSL interception for Azure Stack Hub.

Cenário de firewall de bordaEdge firewall scenario

Numa implementação de borda, o Azure Stack Hub é implantado diretamente atrás do router de borda ou da firewall.In an edge deployment, Azure Stack Hub is deployed directly behind the edge router or the firewall. Nestes cenários, é suportado para que a firewall esteja acima da fronteira (Cenário 1) onde suporta configurações de firewall ativas e ativas ou atuando como o dispositivo de fronteira (Cenário 2) onde apenas suporta a configuração de firewall ativa baseada em multi-caminhos de custo igual (ECMP) com escoamento BGP ou estático para falha.In these scenarios, it's supported for the firewall to be above the border (Scenario 1) where it supports both active-active and active-passive firewall configurations or acting as the border device (Scenario 2) where it only supports active-active firewall configuration relying on equal-cost multi-path (ECMP) with either BGP or static routing for failover.

Os endereços IP de encaminhamento público são especificados para o pool VIP público a partir da rede externa no momento de implementação.Public routable IP addresses are specified for the public VIP pool from the external network at deployment time. Num cenário de borda, não é recomendado usar IPs de encaminhamento público em qualquer outra rede para fins de segurança.In an edge scenario, it's not recommended to use public routable IPs on any other network for security purposes. Este cenário permite que um utilizador experimente toda a experiência em nuvem auto-controlada como numa nuvem pública como a Azure.This scenario enables a user to experience the full self-controlled cloud experience as in a public cloud like Azure.

Exemplo de firewall de borda do Azure Stack Hub

Cenário de firewall de rede de intranet ou perímetro da empresaEnterprise intranet or perimeter network firewall scenario

Numa intranet empresarial ou implantação de perímetro, o Azure Stack Hub é implantado numa firewall multi-zonas ou entre a firewall de borda e a firewall de rede corporativa interna.In an enterprise intranet or perimeter deployment, Azure Stack Hub is deployed on a multi-zoned firewall or in between the edge firewall and the internal, corporate network firewall. O seu tráfego é então distribuído entre a rede de segurança, o perímetro (ou DMZ) e as zonas inseguras, conforme descrito abaixo:Its traffic is then distributed between the secure, perimeter network (or DMZ), and unsecure zones as described below:

  • Zona segura: Esta é a rede interna que utiliza endereços IP internos ou corporativos.Secure zone: This is the internal network that uses internal or corporate routable IP addresses. A rede segura pode ser dividida, ter acesso à internet através do NAT na Firewall, e é geralmente acessível a partir de qualquer lugar dentro do seu datacenter através da rede interna.The secure network can be divided, have internet outbound access through NAT on the Firewall, and is usually accessible from anywhere inside your datacenter via the internal network. Todas as redes Azure Stack Hub devem residir na zona de segurança, exceto na piscina VIP pública da rede externa.All Azure Stack Hub networks should reside in the secure zone except for the external network's public VIP pool.
  • Zona de perímetro.Perimeter zone. A rede de perímetro é onde aplicações externas ou viradas para a Internet, como servidores Web, são normalmente implantadas.The perimeter network is where external or internet-facing apps like Web servers are typically deployed. É geralmente monitorizado por uma firewall para evitar ataques como DDoS e intrusão (hacking) enquanto ainda permite tráfego de entrada especificado a partir da internet.It's usually monitored by a firewall to avoid attacks like DDoS and intrusion (hacking) while still allowing specified inbound traffic from the internet. Apenas a rede externa vip pool do Azure Stack Hub deve residir na zona DMZ.Only the external network public VIP pool of Azure Stack Hub should reside in the DMZ zone.
  • Zona insegura.Unsecure zone. Esta é a rede externa, a internet.This is the external network, the internet. Não é aconselhável implantar o Azure Stack Hub na zona insegura.It is not recommended to deploy Azure Stack Hub in the unsecure zone.

Exemplo de rede de perímetro do Azure Stack Hub

Saiba maisLearn more

Saiba mais sobre portas e protocolos utilizados pelos pontos finais do Azure Stack Hub.Learn more about ports and protocols used by Azure Stack Hub endpoints.

Passos seguintesNext steps

Requisitos de Azure Stack Hub PKIAzure Stack Hub PKI requirements