Сетевая интеграцияNetwork integration

В этой статье рассматривается Azure Stack сетевой интеграции для модульного центра обработки данных Azure.This article covers Azure Stack network integration for Azure Modular Datacenter.

Планирование интеграции сети — важное условие для успешного развертывания и работы интегрированных систем Azure Stack, а также для управления ими.Network integration planning is an important prerequisite for successful Azure Stack integrated systems deployment, operation, and management. Планирование подключения к границе начинается с выбора, нужно ли использовать динамическую маршрутизацию с протокол BGP (BGP) или статической маршрутизацией.Border connectivity planning begins by choosing if you want to use dynamic routing with the Border Gateway Protocol (BGP) or static routing. Для динамической маршрутизации необходимо назначить 16-разрядный номер автономной системы BGP (открытый или частный).Dynamic routing requires that you assign a 16-bit BGP autonomous system number (public or private). Статическая маршрутизация использует статический маршрут по умолчанию, назначенный устройствам с границами.Static routing uses a static default route that's assigned to the border devices.

Для коммутаторов пограничных устройств требуется исходящей связи уровня 3 с IP-адресами "точка — точка" (/30 сетями), настроенными на физических интерфейсах.The edge switches require Layer 3 uplinks with point-to-point IPs (/30 networks) configured on the physical interfaces. Исходящей связи уровня 2 с граничными коммутаторами, поддерживающими Azure Stack операции, не поддерживаются.Layer 2 uplinks with edge switches supporting Azure Stack operations isn't supported.

Маршрутизация BGPBGP routing

Использование такого протокола динамической маршрутизации как BGP гарантирует, что система всегда учитывает изменения в сети и упрощает администрирование.Using a dynamic routing protocol like BGP guarantees that your system is always aware of network changes and facilitates administration. Для повышения безопасности можно задать пароль для пиринга BGP между границей и границей.For enhanced security, you can set a password on the BGP peering between the edge and the border.

Как показано на следующей схеме, объявление частного IP-пространства в коммутаторе верхнего уровня (TOR) блокируется с помощью списка префиксов.As shown in the following diagram, advertising of the private IP space on the top-of-rack (TOR) switch is blocked by using a prefix list. Список префиксов запрещает объявление частной сети и применяется в качестве схемы маршрута в соединении между TOR и ребром.The prefix list denies the advertisement of the private network, and it's applied as a route map on the connection between the TOR and the edge.

Программная подсистема балансировки нагрузки, выполняемая внутри однорангового узла решения Azure Stack на устройствах TOR, чтобы она могла динамически объявлять виртуальные IP-адреса.The software load balancer (SLB) running inside the Azure Stack solution peers to the TOR devices so it can dynamically advertise the VIP addresses.

Чтобы обеспечить немедленное и прозрачное восстановление пользовательского трафика из строя, виртуальное частное облако или агрегирование связей между многокорпусами (МЛАГ), настроенное между устройствами TOR, позволяет использовать МЛАГ для узлов, а также HSRP или VRRP, которые обеспечивают избыточность сети для IP-сетей.To ensure that user traffic immediately and transparently recovers from failure, the virtual private cloud or multi-chassis link aggregation (MLAG) configured between the TOR devices allows the use of MLAG to the hosts and HSRP or VRRP that provides network redundancy for the IP networks.

Статическая маршрутизацияStatic routing

Статическая маршрутизация требует дополнительной настройки на пограничных устройствах.Static routing requires additional configuration to the border devices. Для нее нужно больше действий, выполняемых вручную, а также важно тщательно продумывать любые изменения.It requires more manual intervention and management as well as thorough analysis before any change. Проблемы, вызванные ошибками конфигурации, могут занять больше времени для отката в зависимости от внесенных изменений.Issues caused by a configuration error might take more time to roll back depending on the changes made. Мы не рекомендуем использовать этот метод маршрутизации, но он поддерживается.We don't recommend this routing method, but it's supported.

Чтобы интегрировать Azure Stack в сетевую среду с помощью статической маршрутизации, необходимо подключить все четыре физические связи между границей и граничным устройством.To integrate Azure Stack into your networking environment by using static routing, all four physical links between the border and the edge device must be connected. Но механизм работы статической маршрутизации не гарантирует высокий уровень доступности.High availability can't be guaranteed because of how static routing works.

Для устройства с границей должны быть настроены статические маршруты, указывающие на каждый из четырех IP-адресов "точка — точка", установленных между краем и границей трафика, предназначенного для любой сети в Azure Stack.The border device must be configured with static routes pointing to each one of the four point-to-point IPs set between the edge and the border for traffic destined to any network inside Azure Stack. Однако для работы требуется только внешняя или общедоступная сеть виртуальных IP-адресов.But, only the external or public VIP network is required for operation. Для первоначального развертывания требуются статические маршруты к контроллеру BMC и внешним сетям.Static routes to the BMC and the external networks are required for initial deployment. Операторы могут оставить статические маршруты в границах для доступа к ресурсам управления, которые находятся на контроллере BMC и сети инфраструктуры.Operators can choose to leave static routes in the border to access management resources that reside on the BMC and the infrastructure network. Добавление статических маршрутов в сеть инфраструктуры коммутаторов и сеть управления коммутаторами является необязательным.Adding static routes to switch infrastructure and switch management networks is optional.

Для устройств TOR настроен статический маршрут по умолчанию, отправляющий весь трафик на пограничные устройства.The TOR devices are configured with a static default route sending all traffic to the border devices. Исключением одного трафика в правило по умолчанию является личное пространство, которое блокируется с помощью списка управления доступом, применяемого к соединению TOR с границей.The one traffic exception to the default rule is for the private space, which is blocked by using an access control list applied on the TOR-to-border connection.

Статическая маршрутизация применяется только к каналам исходящей связи между параметрами границ и границ.Static routing applies only to the uplinks between the edge and border switches. В стойке используется динамическая маршрутизация BGP, так как это важнейший инструмент для программной подсистемы балансировки нагрузки и других компонентов. Его нельзя отключить или удалить.BGP dynamic routing is used inside the rack because it's an essential tool for the SLB and other components and can't be disabled or removed.

* После развертывания сеть BMC становится необязательной.* The BMC network is optional after deployment.

** Сетевая инфраструктура коммутатора является необязательной, так как вся сеть может быть включена в сеть управления коммутатором.** The switch infrastructure network is optional because the whole network can be included in the switch management network.

*** Сеть управления коммутатором является обязательной и может быть добавлена отдельно от сети инфраструктуры коммутатора.*** The switch management network is required and can be added separately from the switch infrastructure network.

Прозрачный прокси-сервер.Transparent proxy

Если центр обработки данных требует, чтобы весь трафик использовал прокси-сервер, необходимо настроить прозрачный прокси-сервер для обработки всего трафика из стойки, чтобы обработать его в соответствии с политикой.If your datacenter requires all traffic to use a proxy, you must configure a transparent proxy to process all traffic from the rack to handle it according to policy. Необходимо разделить трафик между зонами в сети.You must separate traffic between the zones on your network.

Решение Azure Stack не поддерживает стандартные веб-прокси.The Azure Stack solution doesn't support normal web proxies.

Прозрачный прокси-сервер (также называется перехватывающим, встроенным или принудительным прокси-сервером) перехватывает стандартные передаваемые данные на сетевом уровне, не требуя специальной настройки клиента.A transparent proxy (also known as an intercepting, inline, or forced proxy) intercepts normal communication at the network layer without requiring any special client configuration. Клиентам не обязательно знать о существовании прокси-сервера.Clients don't need to be aware of the existence of the proxy.

Перехват трафика SSL не поддерживается и может привести к сбоям службы при доступе к конечным точкам.SSL traffic interception isn't supported and can lead to service failures when accessing endpoints. Максимальное поддерживаемое время ожидания для обмена данными с конечными точками, необходимое для удостоверения, составляет 60 секунд с тремя повторными попытками.The maximum supported timeout to communicate with endpoints required for identity is 60 seconds with three retry attempts.

DNSDNS

В этом разделе описывается конфигурация системы доменных имен (DNS).This section covers Domain Name System (DNS) configuration.

Настройка условного перенаправления DNSConfigure conditional DNS forwarding

Это руководство применимо только к развертыванию службы федерации Active Directory (AD FS) (AD FS).This guidance only applies to an Active Directory Federation Services (AD FS) deployment.

Чтобы включить разрешение имен с помощью имеющейся инфраструктуры DNS, настройте условное перенаправление.To enable name resolution with your existing DNS infrastructure, configure conditional forwarding.

Для добавления сервера условного перенаправления необходимо использовать привилегированную конечную точку.To add a conditional forwarder, you must use the privileged endpoint.

Для выполнения этой процедуры используйте компьютер в сети центра обработки данных, который может взаимодействовать с привилегированной конечной точкой в Azure Stack.For this procedure, use a computer in your datacenter network that can communicate with the privileged endpoint in Azure Stack.

  1. Откройте сеанс Windows PowerShell с повышенными привилегиями (Запуск от имени администратора).Open an elevated Windows PowerShell session (run as administrator). Подключитесь к IP-адресу привилегированной конечной точки.Connect to the IP address of the privileged endpoint. Используйте учетные данные для проверки подлинности администратора облака.Use the credentials for CloudAdmin authentication.

    \$cred=Get-Credential Enter-PSSession -ComputerName \<IP Address of ERCS\> -ConfigurationName PrivilegedEndpoint -Credential \$cred 
    
  2. После подключения к привилегированной конечной точке выполните следующую команду PowerShell.After you connect to the privileged endpoint, run the following PowerShell command. Замените предоставленные примеры значений именем домена и IP-адресами DNS-серверов, которые необходимо использовать.Substitute the sample values provided with your domain name and IP addresses of the DNS servers you want to use.

    Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2" 
    

Разрешение Azure Stack DNS-имен извне Azure StackResolve Azure Stack DNS names from outside Azure Stack

Полномочные серверы — это те, которые содержат сведения о внешней зоне DNS и всех созданных пользователем зонах.The authoritative servers are the ones that hold the external DNS zone information and any user-created zones. Выполните интеграцию с этими серверами для разрешения делегирования зоны или условного перенаправления, чтобы разрешать имена DNS Azure Stack извне.Integrate with these servers to enable zone delegation or conditional forwarding to resolve Azure Stack DNS names from outside Azure Stack.

Получение сведений о внешней конечной точке DNS-сервераGet DNS Server external endpoint information

Чтобы интегрировать развертывание Azure Stack с инфраструктурой DNS, необходимы следующие сведения:To integrate your Azure Stack deployment with your DNS infrastructure, you need the following information:

  • Полные доменные имена DNS-сервера (FQDN)DNS server fully qualified domain names (FQDNs)
  • IP-адреса DNS-серверов.DNS server IP addresses

Полные доменные имена DNS-серверов Azure Stack имеют следующий формат:The FQDNs for the Azure Stack DNS servers have the following format:

  • <NAMINGPREFIX>-NS01. <REGION> .<EXTERNALDOMAINNAME><NAMINGPREFIX>-ns01.<REGION>.<EXTERNALDOMAINNAME>
  • <NAMINGPREFIX>-NS02. <REGION> .<EXTERNALDOMAINNAME><NAMINGPREFIX>-ns02.<REGION>.<EXTERNALDOMAINNAME>

При использовании примеров значений полные доменные имена для DNS-серверов будут такими:Using the sample values, the FQDNs for the DNS servers are:

  • azs-ns01.east.cloud.fabrikam.comazs-ns01.east.cloud.fabrikam.com
  • azs-ns02.east.cloud.fabrikam.comazs-ns02.east.cloud.fabrikam.com

Эти сведения доступны на портале администрирования, но также создаются в конце всех Azure Stack развертываний в файле с именем AzureStackStampInformation.js.This information is available in the admin portal but also created at the end of all Azure Stack deployments in a file named AzureStackStampInformation.json. Этот файл находится в папке журнала C: \ клауддеплоймент \ в виртуальной машине развертывания.This file is located in the C:\CloudDeployment\logs folder of the deployment virtual machine. Если вы не знаете, какие значения были использованы для развертывания Azure Stack, эти значения можно получить здесь.If you're not sure what values were used for your Azure Stack deployment, you can get the values from here.

Если виртуальная машина развертывания больше недоступна или недоступна, можно получить значения, подключившись к привилегированной конечной точке и выполнив командлет PowerShell Get-азурестаккстампинформатион .If the deployment virtual machine is no longer available or is inaccessible, you can obtain the values by connecting to the privileged endpoint and running the Get-AzureStackStampInformation PowerShell cmdlet. Дополнительные сведения см. в статье Использование привилегированной конечной точки в Azure Stack.For more information, see privileged endpoint.

Настройка условной пересылки на Azure StackSet up conditional forwarding to Azure Stack

Наиболее простой и безопасный способ интеграции Azure Stack с инфраструктурой DNS — это добиться условного перенаправления зоны с сервера, на котором размещена родительская зона.The simplest and most secure way to integrate Azure Stack with your DNS infrastructure is to do conditional forwarding of the zone from the server that hosts the parent zone. Рекомендуется использовать этот подход, если у вас есть прямой контроль над DNS-серверами, на которых размещена родительская зона для Azure Stack внешнего пространства имен DNS.We recommend this approach if you have direct control over the DNS servers that host the parent zone for your Azure Stack external DNS namespace.

Если вы не знакомы с выполнением условного перенаправления с DNS, см. статью TechNet "назначение условного сервера пересылки для доменного имени" или документации, относящейся к вашему решению DNS.If you're not familiar with how to do conditional forwarding with DNS, see the TechNet article "Assign a Conditional Forwarder for a Domain Name" or the documentation specific to your DNS solution.

В сценариях, где вы указали внешнюю Azure Stack зону DNS как дочерний домен корпоративного доменного имени, нельзя использовать условное перенаправление.In scenarios where you specified your external Azure Stack DNS zone to look like a child domain of your corporate domain name, conditional forwarding can't be used. Необходимо настроить делегирование DNS.DNS delegation must be configured.

ПримерExample:

  • Корпоративное доменное имя DNS: contoso.comCorporate DNS domain name: contoso.com
  • Azure Stack внешнее доменное имя DNS: azurestack.contoso.comAzure Stack external DNS domain name: azurestack.contoso.com

Изменение IP-адресов сервера пересылки DNSEdit DNS forwarder IPs

IP-адреса сервера пересылки DNS устанавливаются во время развертывания Azure Stack.DNS forwarder IPs are set during deployment of Azure Stack. Если IP-адрес сервера пересылки необходимо обновить по какой-либо причине, можно изменить значения, подключившись к привилегированной конечной точке и выполнив командлеты PowerShell Get-азсднсфорвардер и Set-азсднсфорвардер [[-IPAddress] <IPAddress[]> ] .If the forwarder IPs need to be updated for any reason, you can edit the values by connecting to the privileged endpoint and running the Get-AzSDnsForwarder and Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>] PowerShell cmdlets. Дополнительные сведения см. в статье Использование привилегированной конечной точки в Azure Stack.For more information, see privileged endpoint.

Делегирование внешней зоны DNS Azure StackDelegate the external DNS zone to Azure Stack

Для разрешения имен DNS извне развертывания Azure Stack необходимо настроить делегирование DNS.For DNS names to be resolvable from outside an Azure Stack deployment, you need to set up DNS delegation.

У каждого регистратора есть собственные средства управления DNS для изменения записей серверов имен домена.Each registrar has their own DNS management tools to change the name server records for a domain. На странице управления DNS регистратора замените записи NS для зоны на созданные в Azure Stack.In the registrar's DNS management page, edit the NS records and replace the NS records for the zone with the ones in Azure Stack.

Большинству регистраторов DNS требуется предоставить как минимум два DNS-сервера для выполнения делегирования.Most DNS registrars require you to provide a minimum of two DNS servers to complete the delegation.

БрандмауэрFirewall

Для ролей инфраструктуры в Azure Stack настраиваются виртуальные IP-адреса (VIP).Azure Stack sets up virtual IP addresses (VIPs) for its infrastructure roles. Эти виртуальные IP-адреса выделяются из пула общедоступных IP-адресов.These VIPs are allocated from the public IP address pool. Каждый виртуальный IP-адрес защищается списком управления доступом (ACL) на уровне программно определяемой сети.Each VIP is secured with an access control list (ACL) in the software-defined network layer. Для дополнительной защиты решения списки управления доступом применяются и на физических коммутаторах (стоечные коммутаторы и BMC).ACLs are also used across the physical switches (TORs and BMC) to further harden the solution. Для каждой конечной точки создается DNS-запись во внешней зоне DNS, которая указывается во время развертывания.A DNS entry is created for each endpoint in the external DNS zone that's specified at deployment time. Например, пользовательскому порталу назначается запись узла DNS портала. <region>.<fqdn>.For example, the user portal is assigned the DNS host entry of portal.<region>.<fqdn>.

На следующей архитектурной схеме показаны различные уровни сети и списки управления доступом.The following architectural diagram shows the different network layers and ACLs.

На схеме архитектуры показаны различные уровни сети и списки управления доступом.

URL-адреса и портыPorts and URLs

Чтобы сделать службы Azure Stack, такие как порталы, Azure Resource Manager и DNS, доступными для внешних сетей, необходимо разрешить входящий трафик к этим конечным точкам для конкретных URL-адресов, портов и протоколов.To make Azure Stack services like portals, Azure Resource Manager, and DNS available to external networks, you must allow inbound traffic to these endpoints for specific URLs, ports, and protocols.

Если в вашем развертывании прозрачный прокси-сервер передает данные по каналу исходящей связи на традиционный прокси-сервер или решение защищено брандмауэром, то необходимо разрешить определенные порты и URL-адреса для исходящего и входящего трафика.In a deployment where a transparent proxy uplinks to a traditional proxy server or a firewall is protecting the solution, you must allow specific ports and URLs for both inbound and outbound communication. Примеры включают порты и URL-адреса для идентификации, Azure Stack центра Marketplace, исправления и обновления, регистрации и данных об использовании.Examples include ports and URLs for identity, Azure Stack Hub Marketplace, patch and update, registration, and usage data.

Исходящая связьOutbound communication

Azure Stack поддерживает только прозрачные прокси-серверы.Azure Stack supports only transparent proxy servers. В развертывании с прозрачным прокси-сервером исходящей связи с традиционными прокси-серверами необходимо разрешить исходящие подключения для портов и URL-адресов в следующей таблице при развертывании в подключенном режиме.In a deployment with a transparent proxy uplink to a traditional proxy server, you must allow the ports and URLs in the following table for outbound communication when you deploy in connected mode.

Перехват трафика SSL не поддерживается и может привести к сбоям службы при доступе к конечным точкам.SSL traffic interception isn't supported and can lead to service failures when accessing endpoints. Максимальное поддерживаемое время ожидания для связи с конечными точками, необходимое для удостоверения, составляет 60 секунд.The maximum supported timeout to communicate with endpoints required for identity is 60 seconds.

Примечание

Azure Stack не поддерживает использование Azure ExpressRoute для доступа к службам Azure, перечисленным в следующей таблице, так как ExpressRoute не может маршрутизировать трафик ко всем конечным точкам.Azure Stack doesn't support using Azure ExpressRoute to reach the Azure services listed in the following table because ExpressRoute might not be able to route traffic to all of the endpoints.

НазначениеPurpose URL-адрес назначенияDestination URL ПротоколProtocol порты;Ports Исходная сетьSource network
ИдентификацияIdentity AzureAzure
login.windows.netlogin.windows.net
login.microsoftonline.comlogin.microsoftonline.com
graph.windows.netgraph.windows.net
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
www.office.comwww.office.com
ManagementServiceUri = https://management.core.windows.netManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.comARMUri = https://management.azure.com
https://*.msftauth.nethttps://*.msftauth.net
https://*.msauth.nethttps://*.msauth.net
https://*. msocdn.comhttps://*.msocdn.com
Azure для государственных организацийAzure Government
https://login.microsoftonline.us/https://login.microsoftonline.us/
https://graph.windows.net/https://graph.windows.net/
Azure China 21VianetAzure China 21Vianet
https://login.chinacloudapi.cn/https://login.chinacloudapi.cn/
https://graph.chinacloudapi.cn/https://graph.chinacloudapi.cn/
Azure для ГерманииAzure Germany
https://login.microsoftonline.de/https://login.microsoftonline.de/
https://graph.cloudapi.de/https://graph.cloudapi.de/
HTTPHTTP
HTTPSHTTPS
8080
443443
Общедоступный виртуальный IP-адрес — /27Public VIP - /27
Открытая сеть инфраструктурыPublic infrastructure network
Синдикации Azure Stack центра MarketplaceAzure Stack Hub Marketplace syndication AzureAzure
https://management.azure.comhttps://management.azure.com
https://*.blob.core.windows.nethttps://*.blob.core.windows.net
https://*.azureedge.nethttps://*.azureedge.net
Azure для государственных организацийAzure Government
https://management.usgovcloudapi.net/https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/
Azure China 21VianetAzure China 21Vianet
https://management.chinacloudapi.cn/https://management.chinacloudapi.cn/
http://*.blob.core.chinacloudapi.cnhttp://*.blob.core.chinacloudapi.cn
HTTPSHTTPS 443443 Общедоступный виртуальный IP-адрес — /27Public VIP - /27
Исправления и обновленияPatch and update https://*.azureedge.nethttps://*.azureedge.net
https://aka.ms/azurestackautomaticupdatehttps://aka.ms/azurestackautomaticupdate
HTTPSHTTPS 443443 Общедоступный виртуальный IP-адрес — /27Public VIP - /27
РегистрацияRegistration AzureAzure
https://management.azure.comhttps://management.azure.com
Azure для государственных организацийAzure Government
https://management.usgovcloudapi.net/https://management.usgovcloudapi.net/
Azure China 21VianetAzure China 21Vianet
https://management.chinacloudapi.cnhttps://management.chinacloudapi.cn
HTTPSHTTPS 443443 Общедоступный виртуальный IP-адрес — /27Public VIP - /27
ИспользованиеUsage AzureAzure
https://*.trafficmanager.nethttps://*.trafficmanager.net
Azure для государственных организацийAzure Government
https://*.usgovtrafficmanager.nethttps://*.usgovtrafficmanager.net
Azure China 21VianetAzure China 21Vianet
https://*.trafficmanager.cnhttps://*.trafficmanager.cn
HTTPSHTTPS 443443 Общедоступный виртуальный IP-адрес — /27Public VIP - /27
Защитник WindowsWindows Defender *.wdcp.microsoft.com*.wdcp.microsoft.com
*.wdcpalt.microsoft.com*.wdcpalt.microsoft.com
*.wd.microsoft.com*.wd.microsoft.com
*.update.microsoft.com*.update.microsoft.com
*.download.microsoft.com*.download.microsoft.com
https://www.microsoft.com/pkiops/crlhttps://www.microsoft.com/pkiops/crl
https://www.microsoft.com/pkiops/certshttps://www.microsoft.com/pkiops/certs
https://crl.microsoft.com/pki/crl/productshttps://crl.microsoft.com/pki/crl/products
https://www.microsoft.com/pki/certshttps://www.microsoft.com/pki/certs
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
HTTPSHTTPS 8080
443443
Общедоступный виртуальный IP-адрес — /27Public VIP - /27
Открытая сеть инфраструктурыPublic infrastructure network
NTPNTP IP-адрес сервера NTP, предоставленный для развертыванияIP of NTP server provided for deployment UDPUDP 123123 Общедоступный виртуальный IP-адрес — /27Public VIP - /27
DNSDNS IP-адрес DNS-сервера, предоставленный для развертыванияIP of DNS server provided for deployment TCPTCP
UDPUDP
5353 Общедоступный виртуальный IP-адрес — /27Public VIP - /27
Список отзыва сертификатовCRL URL-адрес в точках распространения списков отзыва сертификатов в сертификатеURL under CRL Distribution Points on your certificate HTTPHTTP 8080 Общедоступный виртуальный IP-адрес — /27Public VIP - /27
LDAPLDAP Active Directory лес, предоставленный для интеграции Azure GraphActive Directory forest provided for Azure Graph integration TCPTCP
UDPUDP
389389 Общедоступный виртуальный IP-адрес — /27Public VIP - /27
LDAP SSLLDAP SSL Active Directory лес, предоставленный для интеграции с GraphActive Directory forest provided for Graph integration TCPTCP 636636 Общедоступный виртуальный IP-адрес — /27Public VIP - /27
LDAP GCLDAP GC Active Directory лес, предоставленный для интеграции с GraphActive Directory forest provided for Graph integration TCPTCP 32683268 Общедоступный виртуальный IP-адрес — /27Public VIP - /27
LDAP GC SSLLDAP GC SSL Active Directory лес, предоставленный для интеграции с GraphActive Directory forest provided for Graph integration TCPTCP 32693269 Общедоступный виртуальный IP-адрес — /27Public VIP - /27
AD FSAD FS Конечная точка метаданных AD FS для интеграции AD FSAD FS metadata endpoint provided for AD FS integration TCPTCP 443443 Общедоступный виртуальный IP-адрес — /27Public VIP - /27
Служба сбора журналов диагностикиDiagnostic log collection service Предоставленный в хранилище BLOB-объектов Azure URL-адрес подписи общего доступаAzure Blob Storage-provided shared access signature URL HTTPSHTTPS 443443 Общедоступный виртуальный IP-адрес — /27Public VIP - /27

Входящая связьInbound communication

Набор виртуальных IP-адресов инфраструктуры требуется для публикации конечных точек Azure Stack во внешних сетях.A set of infrastructure VIPs is required for publishing Azure Stack endpoints to external networks. В таблице конечных точек (VIP) для каждой конечной точки указаны назначение, используемый порт и протокол.The Endpoint (VIP) table shows each endpoint, the required port, and protocol. Для конечных точек, для которых требуются дополнительные поставщики ресурсов, например поставщик ресурсов SQL, см. документацию по развертыванию поставщика ресурсов.For endpoints that require additional resource providers, like the SQL resource provider, see the specific resource provider deployment documentation.

Здесь не указаны виртуальные IP-адреса для внутренней инфраструктуры, так как они не используются для публикации Azure Stack.Internal infrastructure VIPs aren't listed because they're not required for publishing Azure Stack. Пользователям виртуальные IP-адреса предоставляются динамически, и они самостоятельно управляют этим процессом без согласования с оператором Azure Stack.User VIPs are dynamic and defined by the users themselves, with no control by the Azure Stack operator.

Примечание

IKEv2 для VPN — это стандартное решение для VPN-подключения IPsec, которое использует порты UDP 500 и 4500, а также TCP-порт 50.IKEv2 VPN is a standards-based IPsec VPN solution that uses UDP port 500 and 4500 and TCP port 50. Эти порты не всегда открываются в брандмауэре, поэтому есть вероятность, что IKEv2 VPN не сможет пройти через прокси-серверы и брандмауэры.Firewalls don't always open these ports, so an IKEv2 VPN might not be able to traverse proxies and firewalls.

Конечная точка (виртуальный IP-адрес)Endpoint (VIP) Запись A на узле DNSDNS host A record ПротоколProtocol порты;Ports
AD FSAD FS Adfs. <регион>.<полное доменное имя>Adfs.<region>.<fqdn> HTTPSHTTPS 443443
Портал Azure (администратор)Azure portal (administrator) Adminportal. <регион>.<полное доменное имя>Adminportal.<region>.<fqdn> HTTPSHTTPS 443443
AdminhostingAdminhosting *. <region> админхостинг..<fqdn>*.adminhosting.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (для администратора)Azure Resource Manager (administrator) Adminmanagement. <регион>.<полное доменное имя>Adminmanagement.<region>.<fqdn> HTTPSHTTPS 443443
Портал Azure (пользователь)Azure portal (user) Portal. <регион>.<полное доменное имя>Portal.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (для пользователя)Azure Resource Manager (user) Management. <регион>.<полное доменное имя>Management.<region>.<fqdn> HTTPSHTTPS 443443
Azure GraphAzure Graph Graph. <регион>.<полное доменное имя>Graph.<region>.<fqdn> HTTPSHTTPS 443443
Список отзыва сертификатовCertificate revocation list Crl. <регион>.<полное доменное имя>Crl.<region>.<fqdn> HTTPHTTP 8080
DNSDNS *. <регион>.<полное доменное имя>*.<region>.<fqdn> TCP или UDPTCP & UDP 5353
HostingHosting *. размещение. <region> ..<fqdn>*.hosting.<region>.<fqdn> HTTPSHTTPS 443443
Azure Key Vault (пользователь)Azure Key Vault (user) *.vault. <регион>.<полное доменное имя>*.vault.<region>.<fqdn> HTTPSHTTPS 443443
Azure Key Vault (администратор)Azure Key Vault (administrator) *.adminvault. <регион>.<полное доменное имя>*.adminvault.<region>.<fqdn> HTTPSHTTPS 443443
Хранилище очередей AzureAzure Queue Storage *.queue. <регион>.<полное доменное имя>*.queue.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Хранилище таблиц AzureAzure Table Storage *.table. <регион>.<полное доменное имя>*.table.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
хранилище BLOB-объектов AzureAzure Blob Storage *.blob. <регион>.<полное доменное имя>*.blob.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Поставщик ресурсов SQLSQL Resource Provider sqladapter.dbadapter. <region>.<fqdn>sqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300–4430444300-44304
Поставщик ресурсов MySQLMySQL Resource Provider mysqladapter.dbadapter. <region>.<fqdn>mysqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300–4430444300-44304
Служба приложений AzureAzure App Service *.appservice. <регион>.<полное доменное имя>*.appservice.<region>.<fqdn> TCPTCP 80 (HTTP)80 (HTTP)
443 (HTTPS)443 (HTTPS)
8172 (MSDeploy)8172 (MSDeploy)
*.scm.appservice. <регион>.<полное доменное имя>*.scm.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
api.appservice. <регион>.<полное доменное имя>api.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
44300 (Azure Resource Manager)44300 (Azure Resource Manager)
ftp.appservice. <регион>.<полное_доменное_имя>ftp.appservice.<region>.<fqdn> TCP, UDPTCP, UDP 21, 1021, 10001-10100 (FTP)21, 1021, 10001-10100 (FTP)
990 (FTPS)990 (FTPS)
VPN-шлюз AzureAzure VPN Gateway См. вопросы и ответы о VPN-шлюзеSee the VPN Gateway FAQ