Publique os serviços do Azure Stack Hub no seu datacenter

O Azure Stack Hub cria endereços IP virtuais (VIPs) para as suas funções de infraestrutura. Estes VIPs são atribuídos a partir do conjunto de endereços IP público. Cada VIP é protegido com uma lista de controlo de acesso (ACL) na camada de rede definida pelo software. Os ACLs também são usados através dos interruptores físicos (TORs e BMC) para endurecer ainda mais a solução. Uma entrada DE DNS é criada para cada ponto final na zona externa de DNS que é especificada na hora de implementação. Por exemplo, o portal do utilizador é atribuído à entrada do portal do DNS. região > . < fqdn >.

O seguinte diagrama arquitetónico mostra as diferentes camadas de rede e ACLs:

Diagrama mostrando diferentes camadas de rede e ACLs

Portas e URLs

Para disponibilizar os serviços do Azure Stack Hub (como os portais, Gestor de Recursos Azure, DNS, e assim por diante) para redes externas, deve permitir o tráfego de entrada para estes pontos finais para URLs específicos, portas e protocolos específicos.

Numa implementação em que um proxy transparente liga a um servidor de procuração tradicional ou a uma firewall está a proteger a solução, deve permitir portas e URLs específicos para comunicação de entrada e saída. Estes incluem portas e URLs para identidade, o mercado, patch e atualização, registo e dados de utilização.

A interceção de tráfego SSL não é suportada e pode levar a falhas de serviço no acesso aos pontos finais.

Portos e protocolos (entrada)

É necessário um conjunto de VIPs de infraestrutura para a publicação de pontos finais do Azure Stack Hub em redes externas. A tabela Endpoint (VIP) mostra cada ponto final, a porta necessária e o protocolo. Consulte a documentação específica de implementação do fornecedor de recursos para pontos finais que requerem fornecedores adicionais de recursos, como o fornecedor de recursos SQL.

Os VIPs de infraestrutura interna não estão listados porque não são necessários para a publicação do Azure Stack Hub. Os VIPs do utilizador são dinâmicos e definidos pelos próprios utilizadores, sem controlo por parte do operador Azure Stack Hub.

Com a adição do Anfitrião de Extensão,não são necessárias portas no intervalo de 12495-30015.

Ponto final (VIP) DNS acolhe um disco Protocolo Portas
AD FS O Adfs. região > . < fqdn > HTTPS 443
Portal (administrador) Adminportal. região > . < fqdn > HTTPS 443
Adminhosting *.adminhos. < região > . < fqdn> HTTPS 443
Gestor de Recursos Azure (administrador) Administração. região > . < fqdn > HTTPS 443
Portal (utilizador) Portal, portal. região > . < fqdn > HTTPS 443
Gestor de Recursos Azure (utilizador) A gerência. região > . < fqdn > HTTPS 443
Graph Graph. região > . < fqdn > HTTPS 443
Lista de revogação de certificados Região de> Crl. < fqdn > HTTP 80
DNS *. região > . < fqdn > TCP & UDP 53
Alojamento *.hosting. < região > . < fqdn> HTTPS 443
Cofre de Chaves (utilizador) *.cofre. região > . < fqdn > HTTPS 443
Cofre-chave (administrador) *.adminvault. região > . < fqdn > HTTPS 443
Fila de Armazenamento *.fila. região > . < fqdn > HTTP
HTTPS
80
443
Armazenamento Tabela *.mesa. região > . < fqdn > HTTP
HTTPS
80
443
Blob de Armazenamento *.blob. região > . < fqdn > HTTP
HTTPS
80
443
Provedor de Recursos SQL sqladapter.dbadapter. região > . < fqdn > HTTPS 44300-44304
Provedor de Recursos MySQL mysqladapter.dbadapter. região > . < fqdn > HTTPS 44300-44304
Serviço de Aplicações *.appservice. região > . < fqdn > TCP 80 (HTTP)
443 (HTTPS)
8172 (MSDeploy)
*.scm.appservice. região > . < fqdn > TCP 443 (HTTPS)
api.appservice. região > . < fqdn > TCP 443 (HTTPS)
44300 (Gestor de Recursos Azure)
ftp.appservice. região > . < fqdn > TCP, UDP 21, 1021, 10001-10100 (FTP)
990 (FTPS)
Gateways de VPN Protocolo IP 50 & UDP Carga de segurança de encapsulação (ESP) IPSec & UDP 500 e 4500

Portas e URLs (saída)

O Azure Stack Hub suporta apenas servidores proxy transparentes. Numa implementação com uma ligação transparente de procuração para um servidor de procuração tradicional, deve permitir que as portas e URLs na tabela seguinte para comunicação de saída. Para obter mais informações sobre a configuração de servidores transparentes de procuração, consulte o proxy transparente para o Azure Stack Hub.

A interceção de tráfego SSL não é suportada e pode levar a falhas de serviço no acesso aos pontos finais. O tempo limite máximo suportado para comunicar com os pontos finais necessários para a identidade é de 60.

Nota

O Azure Stack Hub não suporta a utilização do ExpressRoute para chegar aos serviços Azure listados na tabela seguinte, porque o ExpressRoute pode não ser capaz de encaminhar o tráfego para todos os pontos finais.

Objetivo URL de destino Protocolo / Portos Rede fonte Requisito
Identidade
Permite que o Azure Stack Hub se conecte a Azure Ative Directory para & a autenticação do Serviço de Utilização.
Azure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure Government
https://login.microsoftonline.us/
https://graph.windows.net/
Azure China 21Vianet
https://login.chinacloudapi.cn/
https://graph.chinacloudapi.cn/
Azure Alemanha
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP 80,
HTTPS 443
VIP Público - /27
Rede de infraestruturas públicas
Obrigatório para uma implantação conectada.
Sindicalização do mercado
Permite-lhe baixar itens para Azure Stack Hub a partir do Marketplace e disponibilizá-los a todos os utilizadores usando o ambiente Azure Stack Hub.
Azure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure Government
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
Azure China 21Vianet
https://management.chinacloudapi.cn/
http://*.blob.core.chinacloudapi.cn
HTTPS 443 VIP Público - /27 Não necessárias. Utilize as instruções de cenário desligado para fazer o upload de imagens para o Azure Stack Hub.
Atualização de patch
Quando ligados aos pontos finais da atualização, as atualizações e os hotfixs do Azure Stack Hub são apresentados como disponíveis para download.
https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 VIP Público - /27 Não necessárias. Utilize as instruções de ligação de implantação desligadas para descarregar manualmente e preparar a atualização.
Registo
Permite-lhe registar O Azure Stack Hub com o Azure para baixar itens do Azure Marketplace e configurar dados de comércio reportando à Microsoft.
Azure
https://management.azure.com
Azure Government
https://management.usgovcloudapi.net/
Azure China 21Vianet
https://management.chinacloudapi.cn
HTTPS 443 VIP Público - /27 Não necessárias. Pode utilizar o cenário desligado para o registo offline.
Utilização
Permite que os operadores do Azure Stack Hub configurem a sua instância Azure Stack Hub para reportar dados de utilização ao Azure.
Azure
https://*.trafficmanager.net
Azure Government
https://*.usgovtrafficmanager.net
Azure China 21Vianet
https://*.trafficmanager.cn
HTTPS 443 VIP Público - /27 Necessário para o modelo de licenciamento baseado no consumo do Azure Stack Hub.
Windows Defender
Permite ao fornecedor de recursos de atualização descarregar definições de antimalware e atualizações do motor várias vezes por dia.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.com
HTTPS 80,443 VIP Público - /27
Rede de infraestruturas públicas
Não necessárias. Pode utilizar o cenário desligado para atualizar ficheiros de assinatura antivírus.
NTP
Permite que o Azure Stack Hub se conecte aos servidores temporais.
(IP do servidor NTP previsto para implantação) UDP 123 VIP Público - /27 Necessário
DNS
Permite que o Azure Stack Hub se conecte ao reencaminhador do servidor DNS.
(IP do servidor DNS previsto para implantação) TCP & UDP 53 VIP Público - /27 Necessário
SYSLOG
Permite que o Azure Stack Hub envie uma mensagem syslog para fins de monitorização ou segurança.
(IP do servidor SYSLOG previsto para a implementação) TCP 6514,
UDP 514
VIP Público - /27 Opcional
CRL
Permite ao Azure Stack Hub validar certificados e verificar se há certificados revogados.
(URL ao abrigo de Pontos de Distribuição CRL no seu certificado)
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTP 80 VIP Público - /27 Não necessárias. Boas práticas de segurança altamente recomendadas.
LDAP
Permite que o Azure Stack Hub comunique com o Microsoft Ative Directory no local.
Floresta de Diretório Ativo prevista para a integração Graph TCP & UDP 389 VIP Público - /27 Necessário quando o Azure Stack Hub é implantado usando AD FS.
LDAP SSL
Permite que o Azure Stack Hub comunique encriptado com o Microsoft Ative Directory no local.
Floresta de Diretório Ativo prevista para a integração Graph TCP 636 VIP Público - /27 Necessário quando o Azure Stack Hub é implantado usando AD FS.
LDAP GC
Permite que o Azure Stack Hub comunique com os Servidores de Catálogo Global ativos da Microsoft.
Floresta de Diretório Ativo prevista para a integração Graph TCP 3268 VIP Público - /27 Necessário quando o Azure Stack Hub é implantado usando AD FS.
LDAP GC SSL
Permite que o Azure Stack Hub comunique encriptado com os Servidores globais do Catálogo do Microsoft Ative Directory.
Floresta de Diretório Ativo prevista para a integração Graph TCP 3269 VIP Público - /27 Necessário quando o Azure Stack Hub é implantado usando AD FS.
AD FS
Permite que o Azure Stack Hub comunique com o AD FS no local.
Ponto final de metadados AD FS previsto para integração AD FS TCP 443 VIP Público - /27 Opcional. A AD FS alega que a confiança do fornecedor pode ser criada usando um ficheiro de metadados.
Recolha de registos de diagnóstico
Permite que o Azure Stack Hub envie registos proactivamente ou manualmente por um operador para o suporte da Microsoft.
https://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPS 443 VIP Público - /27 Não necessárias. Pode guardar registos localmente.
Telemetria
Permite que o Azure Stack Hub envie dados de telemetria para a Microsoft.
https://settings-win.data.microsoft.com
https://login.live.com
*.events.data.microsoft.com
HTTPS 443 VIP Público - /27 Necessário quando a telemetria Azure Stack Hub estiver ativada.

Os URLs de saída são equilibrados em carga usando o gestor de tráfego Azure para fornecer a melhor conectividade possível com base na localização geográfica. Com URLs equilibrados de carga, a Microsoft pode atualizar e alterar pontos finais sem afetar os clientes. A Microsoft não partilha a lista de endereços IP para os URLs equilibrados de carga. Utilize um dispositivo que suporte a filtragem por URL e não por IP.

O DNS de saída é sempre necessário; o que varia é a origem que consulta o DNS externo e que tipo de integração identitária foi escolhida. Durante a implementação de um cenário conectado, o DVM que se encontra na rede BMC necessita de acesso de saída. Mas após a implementação, o serviço DNS passa para um componente interno que enviará consultas através de um VIP público. Nessa altura, o acesso dns de saída através da rede BMC pode ser removido, mas o acesso VIP público a esse servidor DNS deve permanecer ou então a autenticação falhará.

Passos seguintes

Requisitos de Azure Stack Hub PKI