Publicera Azure Stack Hub-tjänster i ditt datacenter – Modular Data Center (MDC)
Azure Stack Hub konfigurerar virtuella IP-adresser (VIP) för sina infrastrukturroller. Dessa VIP-adresser allokeras från den offentliga IP-adresspoolen. Varje VIP skyddas med en åtkomstkontrollista (ACL) i det programvarudefinierade nätverksskiktet. ACL:er används också över de fysiska växlarna (TOR och BMC) för att ytterligare härda lösningen. En DNS-post skapas för varje slutpunkt i den externa DNS-zon som anges vid distributionen. Till exempel tilldelas användarportalen DNS-värdposten i portalen. <region>.<fqdn>.
Följande arkitekturdiagram visar de olika nätverksskikten och ACL:erna:
Portar och URL:er
För att göra Azure Stack Hub-tjänster (till exempel portaler, Azure Resource Manager, DNS och så vidare) tillgängliga för externa nätverk måste du tillåta inkommande trafik till dessa slutpunkter för specifika URL:er, portar och protokoll.
I en distribution där en transparent proxy överlänkar till en traditionell proxyserver eller en brandvägg skyddar lösningen måste du tillåta specifika portar och URL:er för både inkommande och utgående kommunikation. Dessa inkluderar portar och URL:er för identitet, marknadsplatsen, korrigering och uppdatering, registrering och användningsdata.
SSL-trafikavlyssning stöds inte och kan leda till tjänstfel vid åtkomst till slutpunkter.
Portar och protokoll (inkommande)
En uppsättning infrastruktur-VIP:er krävs för publicering av Azure Stack Hub-slutpunkter till externa nätverk. Tabellen Slutpunkt (VIP) visar varje slutpunkt, nödvändig port och protokoll. Se distributionsdokumentationen för den specifika resursprovidern för slutpunkter som kräver ytterligare resursproviders, till exempel SQL-resursprovidern.
Interna INFRASTRUKTUR-VIP:er visas inte eftersom de inte krävs för publicering av Azure Stack Hub. Användar-VIP:er är dynamiska och definierade av användarna själva, utan kontroll av Azure Stack Hub-operatören.
Anteckning
IKEv2 VPN är en standardbaserad IPsec VPN-lösning som använder UDP-port 500 och 4500 och TCP-port 50. Brandväggar öppnar inte alltid dessa portar, så IKEv2 VPN kanske inte kan passera proxyservrar och brandväggar.
Med tilläggsvärden krävs inte portar i intervallet 12495–30015.
| Slutpunkt (VIP) | DNS-värd A-post | Protokoll | Portar |
|---|---|---|---|
| AD FS | Adfs. <region>.<Fqdn> | HTTPS | 443 |
| Portal (administratör) | Adminportal. <region>.<Fqdn> | HTTPS | 443 |
| Adminhosting | *.adminhosting.<region>.<Fqdn> | HTTPS | 443 |
| Azure Resource Manager (administratör) | Administratörshantering. <region>.<Fqdn> | HTTPS | 443 |
| Portal (användare) | Portal. <region>.<Fqdn> | HTTPS | 443 |
| Azure Resource Manager (användare) | Management. <region>.<Fqdn> | HTTPS | 443 |
| Graph | Diagram. <region>.<Fqdn> | HTTPS | 443 |
| Lista över återkallade certifikat | Crl.region<.<>Fqdn> | HTTP | 80 |
| DNS | *. <region>.<Fqdn> | TCP & UDP | 53 |
| Värd | *.Hosting.<region>.<Fqdn> | HTTPS | 443 |
| Key Vault (användare) | *.Valv. <region>.<Fqdn> | HTTPS | 443 |
| Key Vault (administratör) | *.adminvault. <region>.<Fqdn> | HTTPS | 443 |
| Lagringskö | *.Kö. <region>.<Fqdn> | HTTP HTTPS |
80 443 |
| Lagringstabell | *.Tabell. <region>.<Fqdn> | HTTP HTTPS |
80 443 |
| Storage Blob | *.Blob. <region>.<Fqdn> | HTTP HTTPS |
80 443 |
| SQL-resursprovider | sqladapter.dbadapter. <region>.<Fqdn> | HTTPS | 44300-44304 |
| MySQL-resursprovider | mysqladapter.dbadapter. <region>.<Fqdn> | HTTPS | 44300-44304 |
| App Service | *.appservice. <region>.<Fqdn> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
| *.scm.appservice. <region>.<Fqdn> | TCP | 443 (HTTPS) | |
| api.appservice. <region>.<Fqdn> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
| ftp.appservice. <region>.<Fqdn> | TCP, UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
| VPN-gatewayer | Se vanliga frågor och svar om VPN-gateway. | ||
Portar och URL:er (utgående)
Azure Stack Hub stöder endast transparenta proxyservrar. I en distribution med en transparent proxy-överlänk till en traditionell proxyserver måste du tillåta portar och URL:er i följande tabell för utgående kommunikation. Mer information om hur du konfigurerar transparenta proxyservrar finns i [Transparent proxy för Azure Stack Hub]((.. /.. /operator/azure-stack-transparent-proxy.md).
SSL-trafikavlyssning stöds inte och kan leda till tjänstfel vid åtkomst till slutpunkter. Den maximala tidsgränsen som stöds för att kommunicera med slutpunkter som krävs för identitet är 60-talet.
Anteckning
Azure Stack Hub stöder inte användning av ExpressRoute för att nå De Azure-tjänster som anges i följande tabell eftersom ExpressRoute kanske inte kan dirigera trafik till alla slutpunkter.
| Syfte | Mål-URL | Protokoll/portar | Källnätverk | Krav |
|---|---|---|---|---|
| Identitet Gör att Azure Stack Hub kan ansluta till Microsoft Entra-ID för autentisering med användar- &-tjänsten. |
Azurelogin.windows.netlogin.microsoftonline.comgraph.windows.nethttps://secure.aadcdn.microsoftonline-p.comwww.office.comManagementServiceUri = https://management.core.windows.netARMUri = https://management.azure.comhttps://*.msftauth.nethttps://*.msauth.nethttps://*.msocdn.comAzure Government https://login.microsoftonline.us/https://graph.windows.net/Azure Tyskland https://login.microsoftonline.de/https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
Offentlig VIP – /27 Offentligt infrastrukturnätverk |
Obligatoriskt för en ansluten distribution. |
| Marketplace-syndikering Gör att du kan ladda ned objekt till Azure Stack Hub från Marketplace och göra dem tillgängliga för alla användare med hjälp av Azure Stack Hub-miljön. |
Azurehttps://management.azure.comhttps://*.blob.core.windows.nethttps://*.azureedge.netAzure Government https://management.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/ |
HTTPS 443 | Offentlig VIP – /27 | Krävs inte. Använd instruktionerna för frånkopplade scenarion för att ladda upp bilder till Azure Stack Hub. |
| Uppdatera & korrigering När du är ansluten till uppdateringsslutpunkter visas Azure Stack Hub-programuppdateringar och snabbkorrigeringar som tillgängliga för nedladdning. |
https://*.azureedge.nethttps://aka.ms/azurestackautomaticupdate |
HTTPS 443 | Offentlig VIP – /27 | Krävs inte. Använd anvisningarna för frånkopplad distributionsanslutning för att ladda ned och förbereda uppdateringen manuellt. |
| Registrering Gör att du kan registrera Azure Stack Hub med Azure för att ladda ned Azure Marketplace objekt och konfigurera handelsdatarapportering tillbaka till Microsoft. |
Azurehttps://management.azure.comAzure Government https://management.usgovcloudapi.net/ |
HTTPS 443 | Offentlig VIP – /27 | Krävs inte. Du kan använda det frånkopplade scenariot för offlineregistrering. |
| Användning Gör att Azure Stack Hub-operatörer kan konfigurera sin Azure Stack Hub-instans för att rapportera användningsdata till Azure. |
Azurehttps://*.trafficmanager.netAzure Government https://*.usgovtrafficmanager.net |
HTTPS 443 | Offentlig VIP – /27 | Krävs för Azure Stack Hub-förbrukningsbaserad licensieringsmodell. |
| Windows Defender Gör att uppdateringsresursprovidern kan ladda ned definitioner för program mot skadlig kod och motoruppdateringar flera gånger per dag. |
*.wdcp.microsoft.com*.wdcpalt.microsoft.com*.wd.microsoft.com*.update.microsoft.com*.download.microsoft.comhttps://secure.aadcdn.microsoftonline-p.com |
HTTPS 80, 443 | Offentlig VIP – /27 Offentligt infrastrukturnätverk |
Krävs inte. Du kan använda det frånkopplade scenariot för att uppdatera antivirussignaturfiler. |
| NTP Gör att Azure Stack Hub kan ansluta till tidsservrar. |
(IP för NTP-servern som tillhandahålls för distribution) | UDP 123 | Offentlig VIP – /27 | Obligatorisk |
| DNS Gör att Azure Stack Hub kan ansluta till DNS-servervidare. |
(IP för DNS-server som tillhandahålls för distribution) | TCP & UDP 53 | Offentlig VIP – /27 | Obligatorisk |
| SYSLOG Gör att Azure Stack Hub kan skicka syslog-meddelande i övervaknings- eller säkerhetssyfte. |
(IP för SYSLOG-servern som tillhandahålls för distribution) | TCP 6514, UDP 514 |
Offentlig VIP – /27 | Valfritt |
| CRL Gör att Azure Stack Hub kan verifiera certifikat och söka efter återkallade certifikat. |
(URL under CRL-distributionsplatser på certifikatet)http://crl.microsoft.com/pki/crl/productshttp://mscrl.microsoft.com/pki/mscorphttp://www.microsoft.com/pki/certshttp://www.microsoft.com/pki/mscorphttp://www.microsoft.com/pkiops/crlhttp://www.microsoft.com/pkiops/certs |
HTTP 80 | Offentlig VIP – /27 | Krävs inte. Rekommenderade rekommenderade säkerhetsmetoder. |
| LDAP Gör att Azure Stack Hub kan kommunicera med Microsoft Active Directory lokalt. |
Active Directory-skog som tillhandahålls för Graph-integrering | TCP & UDP 389 | Offentlig VIP – /27 | Krävs när Azure Stack Hub distribueras med AD FS. |
| LDAP SSL Gör att Azure Stack Hub kan kommunicera krypterat med Microsoft Active Directory lokalt. |
Active Directory-skog som tillhandahålls för Graph-integrering | TCP 636 | Offentlig VIP – /27 | Krävs när Azure Stack Hub distribueras med AD FS. |
| LDAP GC Gör att Azure Stack Hub kan kommunicera med Microsoft Active Global Catalog Servers. |
Active Directory-skog som tillhandahålls för Graph-integrering | TCP 3268 | Offentlig VIP – /27 | Krävs när Azure Stack Hub distribueras med AD FS. |
| LDAP GC SSL Gör att Azure Stack Hub kan kommunicera krypterat med Microsoft Active Directory Global Catalog Servers. |
Active Directory-skog som tillhandahålls för Graph-integrering | TCP 3269 | Offentlig VIP – /27 | Krävs när Azure Stack Hub distribueras med AD FS. |
| AD FS Gör att Azure Stack Hub kan kommunicera med lokal AD FS. |
AD FS-metadataslutpunkt som tillhandahålls för AD FS-integrering | TCP 443 | Offentlig VIP – /27 | Valfritt. AD FS-anspråksproviderns förtroende kan skapas med hjälp av en metadatafil. |
| Insamling av diagnostikloggar Gör att Azure Stack Hub kan skicka loggar antingen proaktivt eller manuellt av en operatör till Microsofts support. |
https://*.blob.core.windows.nethttps://azsdiagprdlocalwestus02.blob.core.windows.nethttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.comhttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | Offentlig VIP – /27 | Krävs inte. Du kan spara loggar lokalt. |
Utgående URL:er belastningsutjämnas med Hjälp av Azure Traffic Manager för att tillhandahålla bästa möjliga anslutning baserat på geografisk plats. Med belastningsutjämnings-URL:er kan Microsoft uppdatera och ändra serverdelsslutpunkter utan att påverka kunderna. Microsoft delar inte listan över IP-adresser för de belastningsutjämnings-URL:erna. Använd en enhet som stöder filtrering efter URL i stället för IP.
Utgående DNS krävs hela tiden. Vad som varierar är källan som frågar den externa DNS och vilken typ av identitetsintegrering som valdes. Under distributionen för ett anslutet scenario behöver den DVM som finns i BMC-nätverket utgående åtkomst. Men efter distributionen flyttas DNS-tjänsten till en intern komponent som skickar frågor via en offentlig VIP. Vid den tidpunkten kan den utgående DNS-åtkomsten via BMC-nätverket tas bort, men den offentliga VIP-åtkomsten till DNS-servern måste finnas kvar, annars misslyckas autentiseringen.
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för