Публикация служб Azure Stack Hub в центре обработки данных
Для ролей инфраструктуры в Azure Stack Hub настраиваются виртуальные IP-адреса (VIP). Эти виртуальные IP-адреса выделяются из пула общедоступных IP-адресов. Каждый виртуальный IP-адрес защищается списком управления доступом (ACL) на уровне программно определяемой сети. Для дополнительной защиты решения списки управления доступом применяются и на физических коммутаторах (стоечные коммутаторы и BMC). Для каждой конечной точки создается DNS-запись во внешней зоне DNS, которая указывается во время развертывания. Например, пользовательскому порталу назначается запись узла DNS портала. <регион>.< полное доменное имя>.
На следующей схеме с архитектурой показаны несколько уровней сети и списков управления доступом.
URL-адреса и порты
Чтобы службы Azure Stack Hub (порталы, Azure Resource Manager, DNS и т. д.) стали доступны для внешних сетей, необходимо разрешить входящий трафик к этим конечным точкам для определенных URL-адресов, портов и протоколов.
Если в вашем развертывании прозрачный прокси-сервер передает данные по каналу исходящей связи на традиционный прокси-сервер или решение защищено брандмауэром, то необходимо разрешить определенные порты и URL-адреса для исходящего и входящего трафика. К ним относятся порты и URL-адреса для идентификации и marketplace, а также для исправления и обновления, регистрации и использования данных.
Перехват трафика SSL не поддерживается и может привести к сбоям службы при обращении к конечным точкам.
Порты и протоколы (входящие)
Для публикации конечных точек Azure Stack Hub во внешних сетях необходим набор виртуальных IP-адресов инфраструктуры. В таблице конечных точек (VIP) для каждой конечной точки указаны назначение, используемый порт и протокол. Конечные точки, необходимые для поставщиков дополнительных ресурсов, например для поставщика ресурсов SQL, описаны в документации по развертыванию соответствующих ресурсов.
Здесь не указаны виртуальные IP-адреса для внутренней инфраструктуры, так как они не используются для публикации Azure Stack Hub. Виртуальные IP-адреса являются динамическими и определяются пользователями, без согласования с оператором Azure Stack Hub.
При добавлении хост-процесса для расширений порты в диапазоне с 12495 по 30015 не используются.
| Конечная точка (виртуальный IP-адрес) | Запись A на узле DNS | Протокол | порты; |
|---|---|---|---|
| AD FS | Adfs. <регион>.< Полное доменное имя> | HTTPS | 443 |
| Портал (для администратора) | Adminportal. <регион>.< Полное доменное имя> | HTTPS | 443 |
| Adminhosting | *.adminhosting.< регион>.< Полное доменное имя> | HTTPS | 443 |
| Azure Resource Manager (для администратора) | Администрирование. <регион>.< Полное доменное имя> | HTTPS | 443 |
| Портал (для пользователя) | Портал. <регион>.< Полное доменное имя> | HTTPS | 443 |
| Azure Resource Manager (для пользователя) | Управления. <регион>.< Полное доменное имя> | HTTPS | 443 |
| График | Graph. <регион>.< Полное доменное имя> | HTTPS | 443 |
| Список отзыва сертификатов | Crl.region<.<> Полное доменное имя> | HTTP | 80 |
| DNS | *. <регион>.< Полное доменное имя> | TCP и UDP | 53 |
| Hosting | *.hosting.< регион>.< Полное доменное имя> | HTTPS | 443 |
| Хранилище ключей (для пользователя) | *.vault. <регион>.< Полное доменное имя> | HTTPS | 443 |
| Хранилище ключей (для администратора) | *.adminvault. <регион>.< Полное доменное имя> | HTTPS | 443 |
| Очередь службы хранилища | *.queue. <регион>.< Полное доменное имя> | HTTP HTTPS |
80 443 |
| Таблица службы хранилища | *.table. <регион>.< Полное доменное имя> | HTTP HTTPS |
80 443 |
| Большой двоичный объект хранилища | *.blob. <регион>.< Полное доменное имя> | HTTP HTTPS |
80 443 |
| Поставщик ресурсов SQL | sqladapter.dbadapter. <регион>.< Полное доменное имя> | HTTPS | 44300–44304 |
| Поставщик ресурсов MySQL | mysqladapter.dbadapter. <регион>.< Полное доменное имя> | HTTPS | 44300–44304 |
| Служба приложений | *.appservice. <регион>.< Полное доменное имя> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
| *.scm.appservice. <регион>.< Полное доменное имя> | TCP | 443 (HTTPS) | |
| api.appservice. <регион>.< Полное доменное имя> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
| ftp.appservice. <регион>.< Полное доменное имя> | TCP, UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
| VPN-шлюзы; | Протокол IP 50 & UDP | Инкапсуляция полезных данных безопасности (ESP) IPSec & UDP 500 и 4500 |
Порты и URL-адреса (исходящие)
Azure Stack Hub поддерживает только прозрачные прокси-серверы. Если в вашем развертывании прозрачный прокси-сервер перенаправляет подключения к обычному прокси-серверу, разрешите порты и URL-адреса из следующей таблицы для исходящей связи: Дополнительные сведения о настройке прозрачных прокси-серверов см. в статье "Прозрачный прокси-сервер" для Azure Stack Hub.
Перехват трафика SSL не поддерживается и может привести к сбоям службы при обращении к конечным точкам. Максимальное поддерживаемое время ожидания для связи с конечными точками, требуемыми для использования удостоверения, — 60 с.
Примечание
Azure Stack Hub не поддерживает использование ExpressRoute для доступа к службам Azure, перечисленным в следующей таблице, так как ExpressRoute может маршрутизировать трафик не ко всем конечным точкам.
| Назначение | URL-адрес назначения | Протокол или порты | Исходная сеть | Требование |
|---|---|---|---|---|
| Удостоверение Позволяет Azure Stack Hub подключаться к Azure Active Directory для проверки подлинности службы пользователей&. |
Azurelogin.windows.netlogin.microsoftonline.comgraph.windows.nethttps://secure.aadcdn.microsoftonline-p.comwww.office.comManagementServiceUri = https://management.core.windows.netARMUri = https://management.azure.comhttps://*.msftauth.nethttps://*.msauth.nethttps://*.msocdn.comAzure для государственных организаций https://login.microsoftonline.us/https://graph.windows.net/Azure China 21Vianet https://login.chinacloudapi.cn/https://graph.chinacloudapi.cn/Azure для Германии https://login.microsoftonline.de/https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
Общедоступный виртуальный IP-адрес — /27 Открытая сеть инфраструктуры |
Обязательный для подключенного развертывания. |
| Синдикация Marketplace Позволяет скачать элементы в Azure Stack Hub из Marketplace и сделать их доступными для всех пользователей с помощью среды Azure Stack Hub. |
Azurehttps://management.azure.comhttps://*.blob.core.windows.nethttps://*.azureedge.netAzure для государственных организаций https://management.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn/http://*.blob.core.chinacloudapi.cn |
HTTPS 443 | Общедоступный виртуальный IP-адрес — /27 | Не требуется. Используйте инструкции по отключенному сценарию для отправки образов в Azure Stack Hub. |
| Обновление исправлений & При подключении к конечным точкам обновления обновления обновления и исправления программного обеспечения Azure Stack Hub отображаются как доступные для скачивания. |
https://*.azureedge.nethttps://aka.ms/azurestackautomaticupdate |
HTTPS 443 | Общедоступный виртуальный IP-адрес — /27 | Не требуется. Используйте инструкции по подключению к отключенным развертываниям , чтобы вручную скачать и подготовить обновление. |
| Регистрация Позволяет зарегистрировать Azure Stack Hub в Azure для скачивания Azure Marketplace элементов и настройки отчетов о коммерческих данных обратно в корпорацию Майкрософт. |
Azurehttps://management.azure.comAzure для государственных организаций https://management.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn |
HTTPS 443 | Общедоступный виртуальный IP-адрес — /27 | Не требуется. Вы можете использовать отключенный сценарий для автономной регистрации. |
| Использование Позволяет операторам Azure Stack Hub настроить экземпляр Azure Stack Hub для передачи данных об использовании в Azure. |
Azurehttps://*.trafficmanager.nethttps://*.cloudapp.azure.comAzure для государственных организаций https://*.usgovtrafficmanager.nethttps://*.cloudapp.usgovcloudapi.netAzure China 21Vianet https://*.trafficmanager.cnhttps://*.cloudapp.chinacloudapi.cn |
HTTPS 443 | Общедоступный виртуальный IP-адрес — /27 | Требуется для модели лицензирования на основе потребления Azure Stack Hub. |
| Защитник Windows Позволяет поставщику ресурсов обновления скачивать определения антивредоносных программ и обновления подсистемы несколько раз в день. |
*.wdcp.microsoft.com*.wdcpalt.microsoft.com*.wd.microsoft.com*.update.microsoft.com*.download.microsoft.comhttps://secure.aadcdn.microsoftonline-p.com |
HTTPS 80, 443 | Общедоступный виртуальный IP-адрес — /27 Открытая сеть инфраструктуры |
Не требуется. Вы можете использовать отключенный сценарий для обновления файлов сигнатуры антивирусной программы. |
| NTP Позволяет Azure Stack Hub подключаться к серверам времени. |
(IP-адрес NTP-сервера, предоставленный для развертывания) | UDP 123 | Общедоступный виртуальный IP-адрес — /27 | Обязательно |
| DNS Позволяет Azure Stack Hub подключаться к серверу пересылки DNS-сервера. |
(IP-адрес DNS-сервера, предоставленный для развертывания) | TCP & UDP 53 | Общедоступный виртуальный IP-адрес — /27 | Обязательно |
| SYSLOG Позволяет Azure Stack Hub отправлять сообщения системного журнала для мониторинга или безопасности. |
(IP-адрес сервера SYSLOG, предоставленный для развертывания) | TCP 6514, UDP 514 |
Общедоступный виртуальный IP-адрес — /27 | Необязательно |
| CRL Позволяет Azure Stack Hub проверять сертификаты и проверять отозванные сертификаты. |
URL-адрес в точках распространения списка отзыва сертификатов | HTTP 80 | Общедоступный виртуальный IP-адрес — /27 | Обязательно |
| CRL Позволяет Azure Stack Hub проверять сертификаты и проверять отозванные сертификаты. |
http://crl.microsoft.com/pki/crl/productshttp://mscrl.microsoft.com/pki/mscorphttp://www.microsoft.com/pki/certshttp://www.microsoft.com/pki/mscorphttp://www.microsoft.com/pkiops/crlhttp://www.microsoft.com/pkiops/certs |
HTTP 80 | Общедоступный виртуальный IP-адрес — /27 | Не требуется. Настоятельно рекомендуется использовать рекомендации по обеспечению безопасности. |
| LDAP Позволяет Azure Stack Hub взаимодействовать с локальной службой Microsoft Active Directory. |
Лес AD DS для интеграции Graph | TCP & UDP 389 | Общедоступный виртуальный IP-адрес — /27 | Требуется при развертывании Azure Stack Hub с помощью AD FS. |
| LDAP SSL Позволяет Azure Stack Hub обмениваться данными с локальной службой Microsoft Active Directory. |
Лес AD DS для интеграции Graph | TCP 636 | Общедоступный виртуальный IP-адрес — /27 | Требуется при развертывании Azure Stack Hub с помощью AD FS. |
| LDAP GC Позволяет Azure Stack Hub взаимодействовать с серверами глобального каталога Майкрософт. |
Лес AD DS для интеграции Graph | TCP 3268 | Общедоступный виртуальный IP-адрес — /27 | Требуется при развертывании Azure Stack Hub с помощью AD FS. |
| LDAP GC SSL Позволяет Azure Stack Hub обмениваться данными с серверами глобального каталога Microsoft Active Directory. |
Лес AD DS для интеграции Graph | TCP 3269 | Общедоступный виртуальный IP-адрес — /27 | Требуется при развертывании Azure Stack Hub с помощью AD FS. |
| AD FS Позволяет Azure Stack Hub взаимодействовать с локальной службой AD FS. |
Конечная точка метаданных AD FS для интеграции AD FS | TCP 443 | Общедоступный виртуальный IP-адрес — /27 | Необязательный элемент. Доверие поставщика утверждений AD FS можно создать с помощью файла метаданных. |
| Сбор журналов диагностики Позволяет Azure Stack Hub отправлять журналы либо заранее, либо вручную оператором в службу поддержки Майкрософт. |
https://*.blob.core.windows.nethttps://azsdiagprdlocalwestus02.blob.core.windows.nethttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.comhttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | Общедоступный виртуальный IP-адрес — /27 | Не требуется. Журналы можно сохранять локально. |
| Удаленная поддержка Позволяет специалистам службы поддержки Майкрософт быстрее решать проблемы поддержки, разрешая удаленному доступу к устройству для выполнения ограниченных операций устранения неполадок и восстановления. |
https://edgesupprd.trafficmanager.nethttps://edgesupprdwestusfrontend.westus2.cloudapp.azure.comhttps://edgesupprdwesteufrontend.westeurope.cloudapp.azure.comhttps://edgesupprdeastusfrontend.eastus.cloudapp.azure.comhttps://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.comhttps://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com*.servicebus.windows.net |
HTTPS 443 | Общедоступный виртуальный IP-адрес — /27 | Не требуется. |
| Телеметрия Позволяет Azure Stack Hub отправлять данные телеметрии в корпорацию Майкрософт. |
https://settings-win.data.microsoft.comhttps://login.live.com*.events.data.microsoft.comНачиная с версии 2108, также требуются следующие конечные точки: https://*.blob.core.windows.net/https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/ |
HTTPS 443 | Общедоступный виртуальный IP-адрес — /27 | Требуется, когда включена телеметрия Azure Stack Hub. |
Исходящие URL-адреса распределяются с помощью диспетчера трафика Azure, чтобы обеспечить наилучшие возможные соединения на основе географического расположения. С помощью распределенных URL-адресов Microsoft может обновлять и изменять конечные точки сервера без влияния на пользователей. Корпорация Майкрософт не предоставляет список IP-адресов для URL-адресов с балансировкой нагрузки. Используйте устройство, которое поддерживает фильтрацию по URL-адресу, а не IP-адресу.
Наличие постоянного исходящего доступа к DNS требуется во всех случаях. Меняется только источник запросов к внешнему DNS-серверу и способ интеграции удостоверений. Во время развертывания в рамках подключенного сценария для работы DVM в сети BMC требуется исходящий доступ. При этом после развертывания служба DNS переключается на внутренний компонент, который будет отсылать запросы через общедоступный виртуальный IP-адрес. Затем исходящий доступ к DNS через сеть BMC можно заблокировать, но общедоступный виртуальный IP-адрес должен иметь доступ к такому DNS-серверу, чтобы аутентификация выполнялась правильно.