Публикация служб Azure Stack Hub в центре обработки данныхPublish Azure Stack Hub services in your datacenter

Для ролей инфраструктуры в Azure Stack Hub настраиваются виртуальные IP-адреса (VIP).Azure Stack Hub sets up virtual IP addresses (VIPs) for its infrastructure roles. Эти виртуальные IP-адреса выделяются из пула общедоступных IP-адресов.These VIPs are allocated from the public IP address pool. Каждый виртуальный IP-адрес защищается списком управления доступом (ACL) на уровне программно определяемой сети.Each VIP is secured with an access control list (ACL) in the software-defined network layer. Для дополнительной защиты решения списки управления доступом применяются и на физических коммутаторах (стоечные коммутаторы и BMC).ACLs are also used across the physical switches (TORs and BMC) to further harden the solution. Для каждой конечной точки создается DNS-запись во внешней зоне DNS, которая указывается во время развертывания.A DNS entry is created for each endpoint in the external DNS zone that's specified at deployment time. Например, пользовательскому порталу назначается запись DNS-узла portal. <регион>.<полное доменное имя> .For example, the user portal is assigned the DNS host entry of portal.<region>.<fqdn>.

На следующей схеме с архитектурой показаны несколько уровней сети и списков управления доступом.The following architectural diagram shows the different network layers and ACLs:

Схема с несколькими уровнями сети и списками управления доступом

URL-адреса и портыPorts and URLs

Чтобы службы Azure Stack Hub (порталы, Azure Resource Manager, DNS и т. д.) стали доступны для внешних сетей, необходимо разрешить входящий трафик к этим конечным точкам для определенных URL-адресов, портов и протоколов.To make Azure Stack Hub services (like the portals, Azure Resource Manager, DNS, and so on) available to external networks, you must allow inbound traffic to these endpoints for specific URLs, ports, and protocols.

Если в вашем развертывании прозрачный прокси-сервер передает данные по каналу исходящей связи на традиционный прокси-сервер или решение защищено брандмауэром, то необходимо разрешить определенные порты и URL-адреса для исходящего и входящего трафика.In a deployment where a transparent proxy uplinks to a traditional proxy server or a firewall is protecting the solution, you must allow specific ports and URLs for both inbound and outbound communication. К ним относятся порты и URL-адреса для идентификации и marketplace, а также для исправления и обновления, регистрации и использования данных.These include ports and URLs for identity, the marketplace, patch and update, registration, and usage data.

Перехват трафика SSL не поддерживается и может привести к сбоям службы при обращении к конечным точкам.SSL traffic interception is not supported and can lead to service failures when accessing endpoints.

Порты и протоколы (входящие)Ports and protocols (inbound)

Для публикации конечных точек Azure Stack Hub во внешних сетях необходим набор виртуальных IP-адресов инфраструктуры.A set of infrastructure VIPs is required for publishing Azure Stack Hub endpoints to external networks. В таблице конечных точек (VIP) для каждой конечной точки указаны назначение, используемый порт и протокол.The Endpoint (VIP) table shows each endpoint, the required port, and protocol. Конечные точки, необходимые для поставщиков дополнительных ресурсов, например для поставщика ресурсов SQL, описаны в документации по развертыванию соответствующих ресурсов.Refer to the specific resource provider deployment documentation for endpoints that require additional resource providers, like the SQL resource provider.

Здесь не указаны виртуальные IP-адреса для внутренней инфраструктуры, так как они не используются для публикации Azure Stack Hub.Internal infrastructure VIPs aren't listed because they're not required for publishing Azure Stack Hub. Виртуальные IP-адреса являются динамическими и определяются пользователями, без согласования с оператором Azure Stack Hub.User VIPs are dynamic and defined by the users themselves, with no control by the Azure Stack Hub operator.

Примечание

IKEv2 для VPN — это стандартное решение для VPN-подключения IPsec, которое использует порты UDP 500 и 4500, а также TCP-порт 50.IKEv2 VPN is a standards-based IPsec VPN solution that uses UDP port 500 and 4500 and TCP port 50. Эти порты не всегда открываются в брандмауэре, поэтому есть вероятность, что IKEv2 VPN не сможет пройти через прокси-серверы и брандмауэры.Firewalls don't always open these ports, so an IKEv2 VPN might not be able to traverse proxies and firewalls.

При добавлении хост-процесса для расширений порты в диапазоне с 12495 по 30015 не используются.With the addition of the Extension Host, ports in the range of 12495-30015 aren't required.

Конечная точка (виртуальный IP-адрес)Endpoint (VIP) Запись A на узле DNSDNS host A record ПротоколProtocol порты;Ports
AD FSAD FS Adfs. <регион>.<полное доменное имя>Adfs.<region>.<fqdn> HTTPSHTTPS 443443
Портал (для администратора)Portal (administrator) Adminportal. <регион>.<полное доменное имя>Adminportal.<region>.<fqdn> HTTPSHTTPS 443443
AdminhostingAdminhosting *. <region> админхостинг..<fqdn>*.adminhosting.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (для администратора)Azure Resource Manager (administrator) Adminmanagement. <регион>.<полное доменное имя>Adminmanagement.<region>.<fqdn> HTTPSHTTPS 443443
Портал (для пользователя)Portal (user) Portal. <регион>.<полное доменное имя>Portal.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (для пользователя)Azure Resource Manager (user) Management. <регион>.<полное доменное имя>Management.<region>.<fqdn> HTTPSHTTPS 443443
ГрафикGraph Graph. <регион>.<полное доменное имя>Graph.<region>.<fqdn> HTTPSHTTPS 443443
Список отзыва сертификатовCertificate revocation list Crl. <регион>.<полное доменное имя>Crl.<region>.<fqdn> HTTPHTTP 8080
DNSDNS *. <регион>.<полное доменное имя>*.<region>.<fqdn> TCP или UDPTCP & UDP 5353
HostingHosting *. размещение. <region> ..<fqdn>*.hosting.<region>.<fqdn> HTTPSHTTPS 443443
Хранилище ключей (для пользователя)Key Vault (user) *.vault. <регион>.<полное доменное имя>*.vault.<region>.<fqdn> HTTPSHTTPS 443443
Хранилище ключей (для администратора)Key Vault (administrator) *.adminvault. <регион>.<полное доменное имя>*.adminvault.<region>.<fqdn> HTTPSHTTPS 443443
Очередь службы хранилищаStorage Queue *.queue. <регион>.<полное доменное имя>*.queue.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Таблица службы хранилищаStorage Table *.table. <регион>.<полное доменное имя>*.table.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Большой двоичный объект хранилищаStorage Blob *.blob. <регион>.<полное доменное имя>*.blob.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Поставщик ресурсов SQLSQL Resource Provider sqladapter.dbadapter. <region>.<fqdn>sqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300–4430444300-44304
Поставщик ресурсов MySQLMySQL Resource Provider mysqladapter.dbadapter. <region>.<fqdn>mysqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300–4430444300-44304
Служба приложенийApp Service *.appservice. <регион>.<полное доменное имя>*.appservice.<region>.<fqdn> TCPTCP 80 (HTTP)80 (HTTP)
443 (HTTPS)443 (HTTPS)
8172 (MSDeploy)8172 (MSDeploy)
*.scm.appservice. <регион>.<полное доменное имя>*.scm.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
api.appservice. <регион>.<полное доменное имя>api.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
44300 (Azure Resource Manager)44300 (Azure Resource Manager)
ftp.appservice. <регион>.<полное_доменное_имя>ftp.appservice.<region>.<fqdn> TCP, UDPTCP, UDP 21, 1021, 10001-10100 (FTP)21, 1021, 10001-10100 (FTP)
990 (FTPS)990 (FTPS)
VPN-шлюзы;VPN Gateways Сведения см. в статье VPN-шлюз: вопросы и ответы.See the VPN gateway FAQ.

Порты и URL-адреса (исходящие)Ports and URLs (outbound)

Azure Stack Hub поддерживает только прозрачные прокси-серверы.Azure Stack Hub supports only transparent proxy servers. Если в вашем развертывании прозрачный прокси-сервер перенаправляет подключения к обычному прокси-серверу, разрешите порты и URL-адреса из следующей таблицы для исходящей связи:In a deployment with a transparent proxy uplink to a traditional proxy server, you must allow the ports and URLs in the following table for outbound communication.

Перехват трафика SSL не поддерживается и может привести к сбоям службы при обращении к конечным точкам.SSL traffic interception is not supported and can lead to service failures when accessing endpoints. Максимальное поддерживаемое время ожидания для связи с конечными точками, требуемыми для использования удостоверения, — 60 с.The maximum supported timeout to communicate with endpoints required for identity is 60s.

Примечание

Azure Stack Hub не поддерживает использование ExpressRoute для доступа к службам Azure, перечисленным в следующей таблице, так как ExpressRoute может маршрутизировать трафик не ко всем конечным точкам.Azure Stack Hub doesn't support using ExpressRoute to reach the Azure services listed in the following table because ExpressRoute may not be able to route traffic to all of the endpoints.

НазначениеPurpose URL-адрес назначенияDestination URL ПротоколProtocol порты;Ports Исходная сетьSource Network
ИдентификацияIdentity AzureAzure
login.windows.netlogin.windows.net
login.microsoftonline.comlogin.microsoftonline.com
graph.windows.netgraph.windows.net
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
www.office.comwww.office.com
ManagementServiceUri = https://management.core.windows.netManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.comARMUri = https://management.azure.com
https://*.msftauth.nethttps://*.msftauth.net
https://*.msauth.nethttps://*.msauth.net
https://*. msocdn.comhttps://*.msocdn.com
Azure для государственных организацийAzure Government
https://login.microsoftonline.us/https://login.microsoftonline.us/
https://graph.windows.net/https://graph.windows.net/
Azure China 21VianetAzure China 21Vianet
https://login.chinacloudapi.cn/https://login.chinacloudapi.cn/
https://graph.chinacloudapi.cn/https://graph.chinacloudapi.cn/
Azure для ГерманииAzure Germany
https://login.microsoftonline.de/https://login.microsoftonline.de/
https://graph.cloudapi.de/https://graph.cloudapi.de/
HTTPHTTP
HTTPSHTTPS
8080
443443
Общедоступный виртуальный IP-адрес — /27Public VIP - /27
Открытая сеть инфраструктурыPublic infrastructure Network
Синдикация MarketplaceMarketplace syndication AzureAzure
https://management.azure.comhttps://management.azure.com
https://*.blob.core.windows.nethttps://*.blob.core.windows.net
https://*.azureedge.nethttps://*.azureedge.net
Azure для государственных организацийAzure Government
https://management.usgovcloudapi.net/https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/
Azure China 21VianetAzure China 21Vianet
https://management.chinacloudapi.cn/https://management.chinacloudapi.cn/
http://*.blob.core.chinacloudapi.cnhttp://*.blob.core.chinacloudapi.cn
HTTPSHTTPS 443443 Общедоступный виртуальный IP-адрес — /27Public VIP - /27
Обновления и исправленияPatch & Update https://*.azureedge.nethttps://*.azureedge.net
https://aka.ms/azurestackautomaticupdatehttps://aka.ms/azurestackautomaticupdate
HTTPSHTTPS 443443 Общедоступный виртуальный IP-адрес — /27Public VIP - /27
РегистрацияRegistration AzureAzure
https://management.azure.comhttps://management.azure.com
Azure для государственных организацийAzure Government
https://management.usgovcloudapi.net/https://management.usgovcloudapi.net/
Azure China 21VianetAzure China 21Vianet
https://management.chinacloudapi.cnhttps://management.chinacloudapi.cn
HTTPSHTTPS 443443 Общедоступный виртуальный IP-адрес — /27Public VIP - /27
ИспользованиеUsage AzureAzure
https://*.trafficmanager.nethttps://*.trafficmanager.net
Azure для государственных организацийAzure Government
https://*.usgovtrafficmanager.nethttps://*.usgovtrafficmanager.net
Azure China 21VianetAzure China 21Vianet
https://*.trafficmanager.cnhttps://*.trafficmanager.cn
HTTPSHTTPS 443443 Общедоступный виртуальный IP-адрес — /27Public VIP - /27
Защитник WindowsWindows Defender *.wdcp.microsoft.com*.wdcp.microsoft.com
*.wdcpalt.microsoft.com*.wdcpalt.microsoft.com
*.wd.microsoft.com*.wd.microsoft.com
*.update.microsoft.com*.update.microsoft.com
*.download.microsoft.com*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
HTTPSHTTPS 8080
443443
Общедоступный виртуальный IP-адрес — /27Public VIP - /27
Открытая сеть инфраструктурыPublic infrastructure Network
NTP.NTP (IP-адрес NTP-сервера, предоставленный для развертывания)(IP of NTP server provided for deployment) UDPUDP 123123 Общедоступный виртуальный IP-адрес — /27Public VIP - /27
DNSDNS (IP-адрес DNS-сервера, предоставленный для развертывания)(IP of DNS server provided for deployment) TCPTCP
UDPUDP
5353 Общедоступный виртуальный IP-адрес — /27Public VIP - /27
SYSLOGSYSLOG (IP-адрес сервера SYSLOG, предоставленный для развертывания)(IP of SYSLOG server provided for deployment) TCPTCP
UDPUDP
65146514
514514
Общедоступный виртуальный IP-адрес — /27Public VIP - /27
Список отзыва сертификатовCRL (URL-адрес сертификата для точек распространения списков отзыва)(URL under CRL Distribution Points on your certificate)
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTPHTTP 8080 Общедоступный виртуальный IP-адрес — /27Public VIP - /27
LDAPLDAP Лес AD DS для интеграции GraphActive Directory Forest provided for Graph integration TCPTCP
UDPUDP
389389 Общедоступный виртуальный IP-адрес — /27Public VIP - /27
LDAP SSLLDAP SSL Лес AD DS для интеграции GraphActive Directory Forest provided for Graph integration TCPTCP 636636 Общедоступный виртуальный IP-адрес — /27Public VIP - /27
LDAP GCLDAP GC Лес AD DS для интеграции GraphActive Directory Forest provided for Graph integration TCPTCP 32683268 Общедоступный виртуальный IP-адрес — /27Public VIP - /27
LDAP GC SSLLDAP GC SSL Лес AD DS для интеграции GraphActive Directory Forest provided for Graph integration TCPTCP 32693269 Общедоступный виртуальный IP-адрес — /27Public VIP - /27
AD FSAD FS Конечная точка метаданных AD FS для интеграции AD FSAD FS metadata endpoint provided for AD FS integration TCPTCP 443443 Общедоступный виртуальный IP-адрес — /27Public VIP - /27
Сбор журналов диагностикиDiagnostic log collection HTTPS://*. BLOB. Core. Windows. NEThttps://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPSHTTPS 443443 Общедоступный виртуальный IP-адрес — /27Public VIP - /27

Исходящие URL-адреса распределяются с помощью диспетчера трафика Azure, чтобы обеспечить наилучшие возможные соединения на основе географического расположения.Outbound URLs are load balanced using Azure traffic manager to provide the best possible connectivity based on geographic location. С помощью распределенных URL-адресов Microsoft может обновлять и изменять конечные точки сервера без влияния на пользователей.With load balanced URLs, Microsoft can update and change backend endpoints without affecting customers. Корпорация Майкрософт не предоставляет список IP-адресов для URL-адресов с балансировкой нагрузки.Microsoft doesn't share the list of IP addresses for the load balanced URLs. Используйте устройство, которое поддерживает фильтрацию по URL-адресу, а не IP-адресу.Use a device that supports filtering by URL rather than by IP.

Наличие постоянного исходящего доступа к DNS требуется во всех случаях. Меняется только источник запросов к внешнему DNS-серверу и способ интеграции удостоверений.Outbound DNS is required at all times; what varies is the source querying the external DNS and what type of identity integration was chosen. Во время развертывания в рамках подключенного сценария для работы DVM в сети BMC требуется исходящий доступ.During deployment for a connected scenario, the DVM that sits on the BMC network needs outbound access. При этом после развертывания служба DNS переключается на внутренний компонент, который будет отсылать запросы через общедоступный виртуальный IP-адрес.But after deployment, the DNS service moves to an internal component that will send queries through a Public VIP. Затем исходящий доступ к DNS через сеть BMC можно заблокировать, но общедоступный виртуальный IP-адрес должен иметь доступ к такому DNS-серверу, чтобы аутентификация выполнялась правильно.At that time, the outbound DNS access through the BMC network can be removed, but the Public VIP access to that DNS server must remain or else authentication will fail.

Дальнейшие действияNext steps

Требования к PKI Azure Stack HubAzure Stack Hub PKI requirements