Publicera Azure Stack Hub-tjänster i ditt datacenter – Modular Data Center (MDC)

Azure Stack Hub konfigurerar virtuella IP-adresser (VIP) för sina infrastrukturroller. Dessa VIP allokeras från den offentliga IP-adresspoolen. Varje VIP skyddas med en åtkomstkontrollista (ACL) i det programvarudefinierade nätverksskiktet. ACL:er används också över de fysiska växlarna (TOR och BMC) för att ytterligare härda lösningen. En DNS-post skapas för varje slutpunkt i den externa DNS-zon som anges vid distributionstillfället. Till exempel tilldelas användarportalen DNS-värdposten i portalen. <region>.< fqdn>.

Följande arkitekturdiagram visar de olika nätverksskikten och ACL:er:

Diagram showing different network layers and ACLs

Portar och URL:er

För att göra Azure Stack Hub-tjänster (t.ex. portaler, Azure Resource Manager, DNS och så vidare) tillgängliga för externa nätverk måste du tillåta inkommande trafik till dessa slutpunkter för specifika URL:er, portar och protokoll.

I en distribution där en transparent proxy överlänkar till en traditionell proxyserver eller en brandvägg skyddar lösningen måste du tillåta specifika portar och URL:er för både inkommande och utgående kommunikation. Dessa omfattar portar och URL:er för identitet, marketplace, korrigering och uppdatering, registrering och användningsdata.

SSL-trafikavlyssning stöds inte och kan leda till tjänstfel vid åtkomst till slutpunkter.

Portar och protokoll (inkommande)

En uppsättning infrastruktur-VIP krävs för publicering av Azure Stack Hub-slutpunkter till externa nätverk. Tabellen Slutpunkt (VIP) visar varje slutpunkt, nödvändig port och protokoll. Se distributionsdokumentationen för den specifika resursprovidern för slutpunkter som kräver ytterligare resursprovidrar, till exempel SQL resursprovider.

Interna infrastruktur-VIP:er visas inte eftersom de inte krävs för publicering av Azure Stack Hub. Användar-VIP:er är dynamiska och definierade av användarna själva, utan kontroll av Azure Stack Hub-operatorn.

Anteckning

IKEv2 VPN är en standardbaserad IPsec VPN-lösning som använder UDP-port 500 och 4500 och TCP-port 50. Brandväggar öppnar inte alltid dessa portar, så en IKEv2 VPN kanske inte kan passera proxyservrar och brandväggar.

Med tillägg av tilläggsvärden krävs inte portar i intervallet 12495-30015.

Slutpunkt (VIP) DNS-värd A-post Protokoll Portar
AD FS Adfs. <region>.< Fqdn> HTTPS 443
Portal (administratör) Adminportal. <region>.< Fqdn> HTTPS 443
Adminhosting *.adminhosting.< region>.< Fqdn> HTTPS 443
Azure Resource Manager (administratör) Administratörshantering. <region>.< Fqdn> HTTPS 443
Portal (användare) Portal. <region>.< Fqdn> HTTPS 443
Azure Resource Manager (användare) Management. <region>.< Fqdn> HTTPS 443
Graph Graph. <region>.< Fqdn> HTTPS 443
Lista över återkallade certifikat Crl.region<.<> Fqdn> HTTP 80
DNS *. <region>.< Fqdn> TCP & UDP 53
Värd *.hosting.< region>.< Fqdn> HTTPS 443
Key Vault (användare) *.vault. <region>.< Fqdn> HTTPS 443
Key Vault (administratör) *.adminvault. <region>.< Fqdn> HTTPS 443
Lagringskö *.queue. <region>.< Fqdn> HTTP
HTTPS
80
443
Storage tabell *.table. <region>.< Fqdn> HTTP
HTTPS
80
443
Storage Blob *.blob. <region>.< Fqdn> HTTP
HTTPS
80
443
SQL resursprovider sqladapter.dbadapter. <region>.< Fqdn> HTTPS 44300-44304
MySQL-resursprovider mysqladapter.dbadapter. <region>.< Fqdn> HTTPS 44300-44304
App Service *.appservice. <region>.< Fqdn> TCP 80 (HTTP)
443 (HTTPS)
8172 (MSDeploy)
*.scm.appservice. <region>.< Fqdn> TCP 443 (HTTPS)
api.appservice. <region>.< Fqdn> TCP 443 (HTTPS)
44300 (Azure Resource Manager)
ftp.appservice. <region>.< Fqdn> TCP, UDP 21, 1021, 10001-10100 (FTP)
990 (FTPS)
VPN-gatewayer Se vanliga frågor och svar om VPN-gateway.

Portar och URL:er (utgående)

Azure Stack Hub stöder endast transparenta proxyservrar. I en distribution med en transparent proxy-överlänk till en traditionell proxyserver måste du tillåta portar och URL:er i följande tabell för utgående kommunikation. Mer information om hur du konfigurerar transparenta proxyservrar finns i [Transparent proxy för Azure Stack Hub]((.. /.. /operator/azure-stack-transparent-proxy.md).

SSL-trafikavlyssning stöds inte och kan leda till tjänstfel vid åtkomst till slutpunkter. Den maximala tidsgränsen som stöds för att kommunicera med slutpunkter som krävs för identitet är 60-talet.

Anteckning

Azure Stack Hub stöder inte användning av ExpressRoute för att nå De Azure-tjänster som anges i följande tabell eftersom ExpressRoute kanske inte kan dirigera trafik till alla slutpunkter.

Syfte Mål-URL Protokoll/portar Källnätverk Krav
Identitet
Gör att Azure Stack Hub kan ansluta till Azure Active Directory för användartjänstautentisering&.
Azure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure Government
https://login.microsoftonline.us/
https://graph.windows.net/
Azure Tyskland
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP 80,
HTTPS 443
Offentlig VIP – /27
Offentligt infrastrukturnätverk
Obligatoriskt för en ansluten distribution.
Marketplace-syndikering
Gör att du kan ladda ned objekt till Azure Stack Hub från Marketplace och göra dem tillgängliga för alla användare med hjälp av Azure Stack Hub-miljön.
Azure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure Government
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
HTTPS 443 Offentlig VIP – /27 Krävs inte. Använd instruktionerna för frånkopplade scenarion för att ladda upp bilder till Azure Stack Hub.
Uppdatering av korrigering &
När du är ansluten till uppdateringsslutpunkter visas Azure Stack Hub-programuppdateringar och snabbkorrigeringar som tillgängliga för nedladdning.
https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 Offentlig VIP – /27 Krävs inte. Använd anvisningarna för frånkopplad distributionsanslutning för att ladda ned och förbereda uppdateringen manuellt.
Registrering
Gör att du kan registrera Azure Stack Hub med Azure för att ladda ned Azure Marketplace objekt och konfigurera handelsdatarapportering tillbaka till Microsoft.
Azure
https://management.azure.com
Azure Government
https://management.usgovcloudapi.net/
HTTPS 443 Offentlig VIP – /27 Krävs inte. Du kan använda det frånkopplade scenariot för offlineregistrering.
Användning
Gör att Azure Stack Hub-operatörer kan konfigurera sin Azure Stack Hub-instans för att rapportera användningsdata till Azure.
Azure
https://*.trafficmanager.net
Azure Government
https://*.usgovtrafficmanager.net
HTTPS 443 Offentlig VIP – /27 Krävs för Azure Stack Hub-förbrukningsbaserad licensieringsmodell.
Windows Defender
Gör att uppdateringsresursprovidern kan ladda ned definitioner för program mot skadlig kod och motoruppdateringar flera gånger per dag.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.com
HTTPS 80, 443 Offentlig VIP – /27
Offentligt infrastrukturnätverk
Krävs inte. Du kan använda det frånkopplade scenariot för att uppdatera antivirussignaturfiler.
NTP
Gör att Azure Stack Hub kan ansluta till tidsservrar.
(IP för NTP-servern som tillhandahålls för distribution) UDP 123 Offentlig VIP – /27 Obligatorisk
DNS
Gör att Azure Stack Hub kan ansluta till DNS-servervidare.
(IP för DNS-server som tillhandahålls för distribution) TCP & UDP 53 Offentlig VIP – /27 Obligatorisk
SYSLOG
Gör att Azure Stack Hub kan skicka syslog-meddelande i övervaknings- eller säkerhetssyfte.
(IP för SYSLOG-servern som tillhandahålls för distribution) TCP 6514,
UDP 514
Offentlig VIP – /27 Valfritt
CRL
Gör att Azure Stack Hub kan verifiera certifikat och söka efter återkallade certifikat.
(URL under CRL-distributionsplatser på certifikatet)
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTP 80 Offentlig VIP – /27 Krävs inte. Rekommenderade rekommenderade säkerhetsmetoder.
LDAP
Gör att Azure Stack Hub kan kommunicera med Microsoft Active Directory lokalt.
Active Directory-skog som tillhandahålls för Graph-integrering TCP & UDP 389 Offentlig VIP – /27 Krävs när Azure Stack Hub distribueras med AD FS.
LDAP SSL
Gör att Azure Stack Hub kan kommunicera krypterat med Microsoft Active Directory lokalt.
Active Directory-skog som tillhandahålls för Graph-integrering TCP 636 Offentlig VIP – /27 Krävs när Azure Stack Hub distribueras med AD FS.
LDAP GC
Gör att Azure Stack Hub kan kommunicera med Microsoft Active Global Catalog Servers.
Active Directory-skog som tillhandahålls för Graph-integrering TCP 3268 Offentlig VIP – /27 Krävs när Azure Stack Hub distribueras med AD FS.
LDAP GC SSL
Gör att Azure Stack Hub kan kommunicera krypterat med Globala katalogservrar i Microsoft Active Directory.
Active Directory-skog som tillhandahålls för Graph-integrering TCP 3269 Offentlig VIP – /27 Krävs när Azure Stack Hub distribueras med AD FS.
AD FS
Gör att Azure Stack Hub kan kommunicera med lokal AD FS.
AD FS-metadataslutpunkt som tillhandahålls för AD FS-integrering TCP 443 Offentlig VIP – /27 Valfritt. AD FS-anspråksproviderns förtroende kan skapas med hjälp av en metadatafil.
Insamling av diagnostikloggar
Gör att Azure Stack Hub kan skicka loggar antingen proaktivt eller manuellt av en operatör till Microsofts support.
https://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPS 443 Offentlig VIP – /27 Krävs inte. Du kan spara loggar lokalt.

Utgående URL:er belastningsutjämnas med Hjälp av Azure Traffic Manager för att tillhandahålla bästa möjliga anslutning baserat på geografisk plats. Med belastningsutjämnings-URL:er kan Microsoft uppdatera och ändra serverdelsslutpunkter utan att påverka kunderna. Microsoft delar inte listan över IP-adresser för de belastningsutjämnings-URL:erna. Använd en enhet som stöder filtrering efter URL i stället för IP.

Utgående DNS krävs hela tiden. Vad som varierar är källan som frågar den externa DNS och vilken typ av identitetsintegrering som valdes. Under distributionen för ett anslutet scenario behöver den DVM som finns i BMC-nätverket utgående åtkomst. Men efter distributionen flyttas DNS-tjänsten till en intern komponent som skickar frågor via en offentlig VIP. Vid den tidpunkten kan den utgående DNS-åtkomsten via BMC-nätverket tas bort, men den offentliga VIP-åtkomsten till DNS-servern måste finnas kvar, annars misslyckas autentiseringen.

Nästa steg

PKI-krav för Azure Stack Hub