Publique os serviços do Azure Stack Hub no seu datacenterPublish Azure Stack Hub services in your datacenter

O Azure Stack Hub cria endereços IP virtuais (VIPs) para as suas funções de infraestrutura.Azure Stack Hub sets up virtual IP addresses (VIPs) for its infrastructure roles. Estes VIPs são atribuídos a partir do conjunto de endereços IP público.These VIPs are allocated from the public IP address pool. Cada VIP é protegido com uma lista de controlo de acesso (ACL) na camada de rede definida pelo software.Each VIP is secured with an access control list (ACL) in the software-defined network layer. Os ACLs também são usados através dos interruptores físicos (TORs e BMC) para endurecer ainda mais a solução.ACLs are also used across the physical switches (TORs and BMC) to further harden the solution. É criada uma entrada DNS para cada ponto final na zona externa de DNS que é especificada na hora de implementação.A DNS entry is created for each endpoint in the external DNS zone that's specified at deployment time. Por exemplo, o portal do utilizador é atribuído à entrada do porta-anfitrião DNS. * <> região. < fqdn>*.For example, the user portal is assigned the DNS host entry of portal.<region>.<fqdn>.

O seguinte diagrama arquitetónico mostra as diferentes camadas de rede e ACLs:The following architectural diagram shows the different network layers and ACLs:

Diagrama mostrando diferentes camadas de rede e ACLs

Portas e URLsPorts and URLs

Para disponibilizar os serviços do Azure Stack Hub (como os portais, Gestor de Recursos Azure, DNS, e assim por diante) para redes externas, deve permitir o tráfego de entrada para estes pontos finais para URLs específicos, portas e protocolos específicos.To make Azure Stack Hub services (like the portals, Azure Resource Manager, DNS, and so on) available to external networks, you must allow inbound traffic to these endpoints for specific URLs, ports, and protocols.

Numa implementação em que um proxy transparente se liga a um servidor de procuração tradicional ou a uma firewall está a proteger a solução, deve permitir portas e URLs específicos para comunicação de entrada e saída.In a deployment where a transparent proxy uplinks to a traditional proxy server or a firewall is protecting the solution, you must allow specific ports and URLs for both inbound and outbound communication. Estes incluem portas e URLs para identidade, o mercado, patch e atualização, registo e dados de utilização.These include ports and URLs for identity, the marketplace, patch and update, registration, and usage data.

A interceção de tráfego SSL não é suportada e pode levar a falhas de serviço no acesso aos pontos finais.SSL traffic interception is not supported and can lead to service failures when accessing endpoints.

Portas e protocolos (entrada)Ports and protocols (inbound)

É necessário um conjunto de VIPs de infraestrutura para a publicação de pontos finais do Azure Stack Hub em redes externas.A set of infrastructure VIPs is required for publishing Azure Stack Hub endpoints to external networks. A tabela Endpoint (VIP) mostra cada ponto final, a porta necessária e o protocolo.The Endpoint (VIP) table shows each endpoint, the required port, and protocol. Consulte a documentação específica de implementação do fornecedor de recursos para pontos finais que requerem fornecedores de recursos adicionais, como o fornecedor de recursos SQL.Refer to the specific resource provider deployment documentation for endpoints that require additional resource providers, like the SQL resource provider.

Os VIPs de infraestrutura interna não estão listados porque não são necessários para a publicação do Azure Stack Hub.Internal infrastructure VIPs aren't listed because they're not required for publishing Azure Stack Hub. Os VIPs do utilizador são dinâmicos e definidos pelos próprios utilizadores, sem controlo por parte do operador Azure Stack Hub.User VIPs are dynamic and defined by the users themselves, with no control by the Azure Stack Hub operator.

Nota

IKEv2 VPN é uma solução VPN VPN baseada em padrões que utiliza a porta UDP 500 e 4500 e a porta TCP 50.IKEv2 VPN is a standards-based IPsec VPN solution that uses UDP port 500 and 4500 and TCP port 50. As firewalls nem sempre abrem estas portas, por isso um VPN IKEv2 pode não ser capaz de atravessar proxies e firewalls.Firewalls don't always open these ports, so an IKEv2 VPN might not be able to traverse proxies and firewalls.

Com a adição do Anfitrião de Extensão,não são necessárias portas no intervalo de 12495-30015.With the addition of the Extension Host, ports in the range of 12495-30015 aren't required.

Ponto final (VIP)Endpoint (VIP) DNS acolhe um discoDNS host A record ProtocoloProtocol PortasPorts
AD FSAD FS O ADFS. * <> região. < fqdn>*Adfs.<region>.<fqdn> HTTPSHTTPS 443443
Portal (administrador)Portal (administrator) Adminportal. * <> região. < fqdn>*Adminportal.<region>.<fqdn> HTTPSHTTPS 443443
AdminhostingAdminhosting *.adminhosting. <region> .<fqdn>*.adminhosting.<region>.<fqdn> HTTPSHTTPS 443443
Gestor de Recursos Azure (administrador)Azure Resource Manager (administrator) Administração. * <> região. < fqdn>*Adminmanagement.<region>.<fqdn> HTTPSHTTPS 443443
Portal (utilizador)Portal (user) Portal, portal. * <> região. < fqdn>*Portal.<region>.<fqdn> HTTPSHTTPS 443443
Gestor de Recursos Azure (utilizador)Azure Resource Manager (user) A gerência. * <> região. < fqdn>*Management.<region>.<fqdn> HTTPSHTTPS 443443
GraphGraph O gráfico. * <> região. < fqdn>*Graph.<region>.<fqdn> HTTPSHTTPS 443443
Lista de revogação de certificadosCertificate revocation list Região de* < Crl.>. < fqdn>*Crl.<region>.<fqdn> HTTPHTTP 8080
DNSDNS *. * <> região. < fqdn>**.<region>.<fqdn> TCP & UDPTCP & UDP 5353
HostingHosting *.hosting. <region><fqdn>*.hosting.<region>.<fqdn> HTTPSHTTPS 443443
Cofre de Chaves (utilizador)Key Vault (user) *.cofre. * <> região. < fqdn>**.vault.<region>.<fqdn> HTTPSHTTPS 443443
Cofre-chave (administrador)Key Vault (administrator) *.adminvault. * <> região. < fqdn>**.adminvault.<region>.<fqdn> HTTPSHTTPS 443443
Fila de ArmazenamentoStorage Queue *.fila. * <> região. < fqdn>**.queue.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Mesa de ArmazenamentoStorage Table *.mesa. * <> região. < fqdn>**.table.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Blob de ArmazenamentoStorage Blob *.blob. * <> região. < fqdn>**.blob.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Fornecedor de Recursos SQLSQL Resource Provider sqladapter.dbadapter. * <> região. < fqdn>*sqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
Provedor de Recursos MySQLMySQL Resource Provider mysqladapter.dbadapter. * <> região. < fqdn>*mysqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
Serviço de AplicaçõesApp Service *.appservice. * <> região. < fqdn>**.appservice.<region>.<fqdn> TCPTCP 80 (HTTP)80 (HTTP)
443 (HTTPS)443 (HTTPS)
8172 (MSDeploy)8172 (MSDeploy)
*.scm.appservice. * <> região. < fqdn>**.scm.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
api.appservice. * <> região. < fqdn>*api.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
44300 (Gestor de Recursos Azure)44300 (Azure Resource Manager)
ftp.appservice. * <> região. < fqdn>*ftp.appservice.<region>.<fqdn> TCP, UDPTCP, UDP 21, 1021, 10001-10100 (FTP)21, 1021, 10001-10100 (FTP)
990 (FTPS)990 (FTPS)
Gateways de VPNVPN Gateways Consulte a porta de entrada VPN FAQ.See the VPN gateway FAQ.

Portas e URLs (saída)Ports and URLs (outbound)

O Azure Stack Hub suporta apenas servidores proxy transparentes.Azure Stack Hub supports only transparent proxy servers. Numa implementação com uma ligação transparente de procuração para um servidor de procuração tradicional, deve permitir as portas e URLs na tabela seguinte para comunicação de saída.In a deployment with a transparent proxy uplink to a traditional proxy server, you must allow the ports and URLs in the following table for outbound communication.

A interceção de tráfego SSL não é suportada e pode levar a falhas de serviço no acesso aos pontos finais.SSL traffic interception is not supported and can lead to service failures when accessing endpoints. O tempo limite máximo suportado para comunicar com os pontos finais necessários para a identidade é de 60.The maximum supported timeout to communicate with endpoints required for identity is 60s.

Nota

O Azure Stack Hub não suporta a utilização do ExpressRoute para chegar aos serviços Azure listados na tabela seguinte, porque o ExpressRoute pode não ser capaz de encaminhar o tráfego para todos os pontos finais.Azure Stack Hub doesn't support using ExpressRoute to reach the Azure services listed in the following table because ExpressRoute may not be able to route traffic to all of the endpoints.

ObjetivoPurpose URL de destinoDestination URL ProtocoloProtocol PortasPorts Rede fonteSource Network
IdentidadeIdentity AzureAzure
login.windows.netlogin.windows.net
login.microsoftonline.comlogin.microsoftonline.com
graph.windows.netgraph.windows.net
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
www.office.comwww.office.com
ManagementServiceUri = https: / /management.core.windows.netManagementServiceUri = https://management.core.windows.net
ARMUri = https: / /management.azure.comARMUri = https://management.azure.com
https: / / * .msftauth.nethttps://*.msftauth.net
https: / / * .msauth.nethttps://*.msauth.net
https: / / * .msocdn.comhttps://*.msocdn.com
Azure GovernmentAzure Government
https: / /login.microsoftonline.us/https://login.microsoftonline.us/
https: / /graph.windows.net/https://graph.windows.net/
Azure China 21VianetAzure China 21Vianet
https: / /login.chinacloudapi.cn/https://login.chinacloudapi.cn/
https: / /graph.chinacloudapi.cn/https://graph.chinacloudapi.cn/
Azure AlemanhaAzure Germany
https: / /login.microsoftonline.de/https://login.microsoftonline.de/
https: / /graph.cloudapi.de/https://graph.cloudapi.de/
HTTPHTTP
HTTPSHTTPS
8080
443443
VIP Público - /27Public VIP - /27
Rede de infraestruturas públicasPublic infrastructure Network
Sindicalização do mercadoMarketplace syndication AzureAzure
https://management.azure.comhttps://management.azure.com
https://*.blob.core.windows.nethttps://*.blob.core.windows.net
https://*.azureedge.nethttps://*.azureedge.net
Azure GovernmentAzure Government
https: / /management.usgovcloudapi.net/https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/
Azure China 21VianetAzure China 21Vianet
https: / /management.chinacloudapi.cn/https://management.chinacloudapi.cn/
http://*.blob.core.chinacloudapi.cnhttp://*.blob.core.chinacloudapi.cn
HTTPSHTTPS 443443 VIP Público - /27Public VIP - /27
Atualização de & de patchPatch & Update https://*.azureedge.nethttps://*.azureedge.net
https: / /aka.ms/azurestackautomaticupdatehttps://aka.ms/azurestackautomaticupdate
HTTPSHTTPS 443443 VIP Público - /27Public VIP - /27
RegistoRegistration AzureAzure
https://management.azure.comhttps://management.azure.com
Azure GovernmentAzure Government
https: / /management.usgovcloudapi.net/https://management.usgovcloudapi.net/
Azure China 21VianetAzure China 21Vianet
https: / /management.chinacloudapi.cnhttps://management.chinacloudapi.cn
HTTPSHTTPS 443443 VIP Público - /27Public VIP - /27
UtilizaçãoUsage AzureAzure
https://*.trafficmanager.nethttps://*.trafficmanager.net
Azure GovernmentAzure Government
https://*.usgovtrafficmanager.nethttps://*.usgovtrafficmanager.net
Azure China 21VianetAzure China 21Vianet
https://*.trafficmanager.cnhttps://*.trafficmanager.cn
HTTPSHTTPS 443443 VIP Público - /27Public VIP - /27
Windows DefenderWindows Defender *.wdcp.microsoft.com*.wdcp.microsoft.com
*.wdcpalt.microsoft.com*.wdcpalt.microsoft.com
*.wd.microsoft.com*.wd.microsoft.com
*.update.microsoft.com*.update.microsoft.com
*.download.microsoft.com*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
HTTPSHTTPS 8080
443443
VIP Público - /27Public VIP - /27
Rede de infraestruturas públicasPublic infrastructure Network
NTPNTP (IP do servidor NTP previsto para implantação)(IP of NTP server provided for deployment) UDPUDP 123123 VIP Público - /27Public VIP - /27
DNSDNS (IP do servidor DNS previsto para implantação)(IP of DNS server provided for deployment) TCPTCP
UDPUDP
5353 VIP Público - /27Public VIP - /27
SYSLOGSYSLOG (IP do servidor SYSLOG previsto para a implementação)(IP of SYSLOG server provided for deployment) TCPTCP
UDPUDP
65146514
514514
VIP Público - /27Public VIP - /27
CRLCRL (URL nos pontos de distribuição de CRL no seu certificado)(URL under CRL Distribution Points on your certificate)
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTPHTTP 8080 VIP Público - /27Public VIP - /27
LDAPLDAP Floresta de Diretório Ativo prevista para integração de gráficosActive Directory Forest provided for Graph integration TCPTCP
UDPUDP
389389 VIP Público - /27Public VIP - /27
LDAP SSLLDAP SSL Floresta de Diretório Ativo prevista para integração de gráficosActive Directory Forest provided for Graph integration TCPTCP 636636 VIP Público - /27Public VIP - /27
LDAP GCLDAP GC Floresta de Diretório Ativo prevista para integração de gráficosActive Directory Forest provided for Graph integration TCPTCP 32683268 VIP Público - /27Public VIP - /27
LDAP GC SSLLDAP GC SSL Floresta de Diretório Ativo prevista para integração de gráficosActive Directory Forest provided for Graph integration TCPTCP 32693269 VIP Público - /27Public VIP - /27
AD FSAD FS Ponto final de metadados AD FS previsto para integração AD FSAD FS metadata endpoint provided for AD FS integration TCPTCP 443443 VIP Público - /27Public VIP - /27
Recolha de registos de diagnósticoDiagnostic log collection https://*.blob.core.windows.nethttps://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPSHTTPS 443443 VIP Público - /27Public VIP - /27

Os URLs de saída são equilibrados em carga usando o gestor de tráfego Azure para fornecer a melhor conectividade possível com base na localização geográfica.Outbound URLs are load balanced using Azure traffic manager to provide the best possible connectivity based on geographic location. Com URLs equilibrados de carga, a Microsoft pode atualizar e alterar pontos finais sem afetar os clientes.With load balanced URLs, Microsoft can update and change backend endpoints without affecting customers. A Microsoft não partilha a lista de endereços IP para os URLs equilibrados de carga.Microsoft doesn't share the list of IP addresses for the load balanced URLs. Utilize um dispositivo que suporte a filtragem por URL e não por IP.Use a device that supports filtering by URL rather than by IP.

O DNS de saída é sempre necessário; o que varia é a origem que consulta o DNS externo e que tipo de integração identitária foi escolhida.Outbound DNS is required at all times; what varies is the source querying the external DNS and what type of identity integration was chosen. Durante a implementação de um cenário conectado, o DVM que se encontra na rede BMC necessita de acesso de saída.During deployment for a connected scenario, the DVM that sits on the BMC network needs outbound access. Mas após a implementação, o serviço DNS move-se para um componente interno que enviará consultas através de um VIP público.But after deployment, the DNS service moves to an internal component that will send queries through a Public VIP. Nessa altura, o acesso dns de saída através da rede BMC pode ser removido, mas o acesso VIP público a esse servidor DNS deve permanecer ou então a autenticação falhará.At that time, the outbound DNS access through the BMC network can be removed, but the Public VIP access to that DNS server must remain or else authentication will fail.

Próximos passosNext steps

Requisitos de Azure Stack Hub PKIAzure Stack Hub PKI requirements