Azure Stack nav, robust nätverks integreringAzure Stack Hub ruggedized network integration

I det här avsnittet beskrivs Azure Stack nätverks integrering.This topic covers Azure Stack network integration.

Planering av nätverks integrering är ett viktigt krav för lyckad Azure Stack integrerad Systems distribution, drift och hantering.Network integration planning is an important prerequisite for successful Azure Stack integrated systems deployment, operation, and management. Planering av gräns anslutning börjar genom att välja om du vill använda dynamisk routning med BGP (Border Gateway Protocol).Border connectivity planning begins by choosing if you want use dynamic routing with border gateway protocol (BGP). Detta kräver att du tilldelar ett 16-bitars BGP autonomt system nummer (offentligt eller privat) eller använder statisk routning, där en statisk standard väg tilldelas till gräns enheterna.This requires assigning a 16-bit BGP autonomous system number (public or private) or using static routing, where a static default route is assigned to the border devices.

TOR-växlar (Top-of-rack) kräver Layer 3 överordnade länkar med punkt-till-punkt-IP: er (/30 nätverk) som kon figurer ATS på de fysiska gränssnitten.The top of rack (TOR) switches require Layer 3 uplinks with Point-to-Point IPs (/30 networks) configured on the physical interfaces. Layer 2 länkar med TOR-växlar som stöder Azure Stack åtgärder stöds inte.Layer 2 uplinks with TOR switches supporting Azure Stack operations isn't supported.

BGP-routningBGP routing

Att använda ett dynamiskt Dirigerings protokoll som BGP garanterar att systemet alltid känner till nätverks förändringar och underlättar administrationen.Using a dynamic routing protocol like BGP guarantees that your system is always aware of network changes and facilitates administration. För ökad säkerhet kan ett lösen ord anges för BGP-peering mellan TOR och kant linjen.For enhanced security, a password may be set on the BGP peering between the TOR and the Border.

Som du ser i följande diagram blockeras annonsering av det privata IP-utrymmet på TOR-växeln med hjälp av en lista med prefix.As shown in the following diagram, advertising of the private IP space on the TOR switch is blocked using a prefix-list. I listan över prefix nekas annonsen för det privata nätverket och det används som en väg mappning för anslutningen mellan TOR och kant linjen.The prefix list denies the advertisement of the Private Network and it's applied as a route-map on the connection between the TOR and the border.

Program varan Load Balancer (SLB) som körs inuti Azure Stack-lösningens peer-datorer med TOR-enheterna så att den dynamiskt kan annonsera VIP-adresserna.The Software Load Balancer (SLB) running inside the Azure Stack solution peers to the TOR devices so it can dynamically advertise the VIP addresses.

För att säkerställa att användar trafiken omedelbart och transparent återställs från ett haveri kan VPC eller MLAG som kon figurer ATS mellan TOR-enheter använda multi-band-länk agg regering till värdarna och HSRP eller VRRP som ger nätverks redundans för IP-nätverken.To ensure that user traffic immediately and transparently recovers from failure, the VPC or MLAG configured between the TOR devices allows the use of multi-chassis link aggregation to the hosts and HSRP or VRRP that provides network redundancy for the IP networks.

Statisk routningStatic routing

Statisk routning kräver ytterligare konfiguration till gräns enheterna.Static routing requires additional configuration to the border devices. Det kräver mer manuellt ingripande och hantering samt grundlig analys innan ändringar.It requires more manual intervention and management as well as thorough analysis before any change. Problem som orsakas av ett konfigurations fel kan ta längre tid att återställa beroende på vilka ändringar som gjorts.Issues caused by a configuration error may take more time to rollback depending on the changes made. Denna routningsmetod rekommenderas inte, men stöds inte.This routing method isn't recommended, but it's supported.

För att integrera Azure Stack i din nätverks miljö med hjälp av statisk routning måste alla fyra fysiska länkar mellan kant linjen och TOR-enheten vara anslutna.To integrate Azure Stack into your networking environment using static routing, all four physical links between the border and the TOR device must be connected. Hög tillgänglighet kan inte garanteras på grund av hur statisk routning fungerar.High availability can't be guaranteed because of how static routing works.

Gräns enheten måste konfigureras med statiska vägar som pekar på var och en av de fyra P2P-IP: er som anges mellan TOR och gränsen för trafik som är avsedd för ett nätverk i Azure Stack, men bara det externa eller offentliga VIP-nätverket krävs för åtgärden.The border device must be configured with static routes pointing to each one of the four P2P IPs set between the TOR and the Border for traffic destined to any network inside Azure Stack, but only the External or Public VIP network is required for operation. Statiska vägar till BMC och de externa nätverken krävs för den första distributionen.Static routes to the BMC and the External networks are required for initial deployment. Operatörer kan välja att lämna statiska vägar i kant linjen för att få åtkomst till hanterings resurser som finns i BMC -och infrastruktur nätverket.Operators can choose to leave static routes in the border to access management resources that reside on the BMC and the Infrastructure network. Att lägga till statiska vägar för att Växla infrastruktur -och växel hanterings nätverk är valfritt.Adding static routes to switch infrastructure and switch management networks is optional.

TOR-enheterna konfigureras med en statisk standard väg som skickar all trafik till gräns enheterna.The TOR devices are configured with a static default route sending all traffic to the border devices. Det enda trafik undantaget till standard regeln är för det privata utrymmet, som blockeras med hjälp av en Access Control lista som tillämpas på TOR till gräns anslutning.The one traffic exception to the default rule is for the private space, which is blocked using an Access Control List applied on the TOR to border connection.

Statisk routning gäller bara för överordnade länkar mellan TOR-och gräns växlarna.Static routing applies only to the uplinks between the TOR and border switches. BGP Dynamic routing används i racket eftersom det är ett viktigt verktyg för SLB och andra komponenter och inte kan inaktive ras eller tas bort.BGP dynamic routing is used inside the rack because it's an essential tool for the SLB and other components and can't be disabled or removed.

* BMC-nätverket är valfritt efter distributionen.* The BMC network is optional after deployment.

** Nätverk för växel infrastruktur är valfritt, eftersom hela nätverket kan inkluderas i Switch Management-nätverket.** The Switch Infrastructure network is optional, as the whole network can be included in the Switch Management network.

*** Switch Management-nätverket krävs och kan läggas till separat från växel infrastruktur nätverket.*** The Switch Management network is required and can be added separately from the Switch Infrastructure network.

Transparent proxyTransparent proxy

Om data centret kräver all trafik för att använda en proxyserver måste du konfigurera en transparent proxy för att bearbeta all trafik från racket för att hantera den enligt principen, separera trafiken mellan zonerna i nätverket.If your datacenter requires all traffic to use a proxy, you must configure a transparent proxy to process all traffic from the rack to handle it according to policy, separating traffic between the zones on your network.

Azure Stack-lösningen har inte stöd för normala WebbproxyservrarThe Azure Stack solution doesn't support normal web proxies

En transparent proxy (kallas även för en avlyssning, infogad eller framtvingad proxy) fångar upp normal kommunikation på nätverks lagret utan att kräva någon speciell klient konfiguration.A transparent proxy (also known as an intercepting, inline, or forced proxy) intercepts normal communication at the network layer without requiring any special client configuration. Klienterna behöver inte vara medvetna om förekomsten av proxyn.Clients don't need to be aware of the existence of the proxy.

SSL-trafik avlyssning stöds inte och kan leda till tjänst problem vid åtkomst till slut punkter.SSL traffic interception is not supported and can lead to service failures when accessing endpoints. Den maximala tids gräns som stöds för att kommunicera med slut punkter som krävs för identiteten är 60 s med 3 nya försök.The maximum supported timeout to communicate with endpoints required for identity is 60s with 3 retry attempts.

DNSDNS

I det här avsnittet beskrivs Domain Name System (DNS)-konfiguration.This section covers Domain Name System (DNS) configuration.

Konfigurera villkorlig DNS-vidarebefordringConfigure conditional DNS forwarding

Detta gäller endast för en AD FS-distribution.This only applies to an AD FS deployment.

Konfigurera villkorlig vidarebefordran om du vill aktivera namn matchning med din befintliga DNS-infrastruktur.To enable name resolution with your existing DNS infrastructure, configure conditional forwarding.

Om du vill lägga till en villkorlig vidarebefordrare måste du använda den privilegierade slut punkten.To add a conditional forwarder, you must use the privileged endpoint.

I den här proceduren använder du en dator i ditt data Center nätverk som kan kommunicera med den behöriga slut punkten i Azure Stack.For this procedure, use a computer in your datacenter network that can communicate with the privileged endpoint in Azure Stack.

  1. Öppna en upphöjd Windows PowerShell-session (kör som administratör) och Anslut till IP-adressen för den privilegierade slut punkten.Open an elevated Windows PowerShell session (run as administrator), and connect to the IP address of the privileged endpoint. Använd autentiseringsuppgifterna för CloudAdmin-autentisering.Use the credentials for CloudAdmin authentication.

    \$cred=Get-Credential Enter-PSSession -ComputerName \<IP Address of ERCS\> -ConfigurationName PrivilegedEndpoint -Credential \$cred 
    
  2. När du har anslutit till den privilegierade slut punkten kör du följande PowerShell-kommando.After you connect to the privileged endpoint, run the following PowerShell command. Ersätt exempel värdena med domän namnet och IP-adresserna för de DNS-servrar som du vill använda.Substitute the sample values provided with your domain name and IP addresses of the DNS servers you want to use.

    Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2" 
    

Matcha Azure Stack DNS-namn från utanför Azure StackResolving Azure Stack DNS names from outside Azure Stack

De auktoritativa servrarna är de som innehåller information om den externa DNS-zonen och eventuella zoner som skapats av användare.The authoritative servers are the ones that hold the external DNS zone information, and any user-created zones. Integrera med dessa servrar för att aktivera zon delegering eller villkorlig vidarebefordran för att lösa Azure Stack DNS-namn utanför Azure Stack.Integrate with these servers to enable zone delegation or conditional forwarding to resolve Azure Stack DNS names from outside Azure Stack.

Hämta extern slut punkts information för DNS-ServerGet DNS Server external endpoint information

Om du vill integrera din Azure Stack-distribution med DNS-infrastrukturen behöver du följande information:To integrate your Azure Stack deployment with your DNS infrastructure, you need the following information:

  • DNS-serverns FQDNDNS server FQDNs

  • IP-adresser för DNS-ServerDNS server IP addresses

De fullständiga domän namnen för Azure Stack DNS-servrarna har följande format:The FQDNs for the Azure Stack DNS servers have the following format:

<NAMINGPREFIX>-ns01. <REGION> .<EXTERNALDOMAINNAME><NAMINGPREFIX>-ns01.<REGION>.<EXTERNALDOMAINNAME>

<NAMINGPREFIX>-ns02. <REGION> .<EXTERNALDOMAINNAME><NAMINGPREFIX>-ns02.<REGION>.<EXTERNALDOMAINNAME>

Med hjälp av exempel värden är FQDN: erna för DNS-servrarna:Using the sample values, the FQDNs for the DNS servers are:

azs-ns01.east.cloud.fabrikam.comazs-ns01.east.cloud.fabrikam.com

azs-ns02.east.cloud.fabrikam.comazs-ns02.east.cloud.fabrikam.com

Den här informationen är tillgänglig i administrations portalen, men skapas också i slutet av alla Azure Stack distributioner i en fil med namnet AzureStackStampInformation.jspå.This information is available in the admin portal but also created at the end of all Azure Stack deployments in a file named AzureStackStampInformation.json. Den här filen finns i mappen C: \ CloudDeployment- \ loggar på den virtuella distributions datorn.This file is located in the C:\CloudDeployment\logs folder of the Deployment virtual machine. Om du inte är säker på vilka värden som användes för din Azure Stack-distribution kan du hämta värdena härifrån.If you're not sure what values were used for your Azure Stack deployment, you can get the values from here.

Om den virtuella distributions datorn inte längre är tillgänglig eller inte är tillgänglig kan du hämta värdena genom att ansluta till den behöriga slut punkten och köra PowerShell-cmdleten Get-AzureStackStampInformation.If the Deployment virtual machine is no longer available or is inaccessible, you can obtain the values by connecting to the privileged endpoint and running the Get-AzureStackStampInformation PowerShell cmdlet. Mer information finns i privilegie rad slut punkt.For more information, see privileged endpoint.

Konfigurera villkorlig vidarebefordran till Azure StackSetting up conditional forwarding to Azure Stack

Det enklaste och säkraste sättet att integrera Azure Stack med din DNS-infrastruktur är att utföra villkorlig vidarebefordran av zonen från den server som är värd för den överordnade zonen.The simplest and most secure way to integrate Azure Stack with your DNS infrastructure is to do conditional forwarding of the zone from the server that hosts the parent zone. Den här metoden rekommenderas om du har direkt kontroll över de DNS-servrar som är värdar för den överordnade zonen för din Azure Stack externa DNS-namnrymd.This approach is recommended if you have direct control over the DNS servers that host the parent zone for your Azure Stack external DNS namespace.

Om du inte är bekant med hur du utför villkorlig vidarebefordran med DNS kan du läsa följande TechNet-artikel: tilldela en villkorlig vidarebefordrare för ett domän namn eller dokumentationen som är unik för din DNS-lösning.If you're not familiar with how to do conditional forwarding with DNS, see the following TechNet article: Assign a Conditional Forwarder for a Domain Name, or the documentation specific to your DNS solution.

I scenarier där du angav din externa Azure Stack DNS-zon så att den ser ut som en underordnad domän till ditt företags domän namn, kan inte villkorlig vidarebefordran användas.In scenarios where you specified your external Azure Stack DNS Zone to look like a child domain of your corporate domain name, conditional forwarding can't be used. DNS-delegering måste konfigureras.DNS delegation must be configured.

Exempel:Example:

  • Företags-DNS-domän namn: contoso.comCorporate DNS Domain Name: contoso.com

  • Azure Stack extern DNS-domän namn: azurestack.contoso.comAzure Stack External DNS Domain Name: azurestack.contoso.com

Redigera DNS-vidarebefordrare IP-adresserEditing DNS Forwarder IPs

IP-adresser för DNS-vidarebefordrare anges under distributionen av Azure Stack.DNS Forwarder IPs are set during deployment of Azure Stack. Men om vidarebefordraren IP-adresser måste uppdateras av någon anledning kan du redigera värdena genom att ansluta till den privilegierade slut punkten och köra Get-AzSDnsForwarder och Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]> ] PowerShell-cmdletar.However, if the Forwarder IPs need to be updated for any reason, you can edit the values by connecting to the privileged endpoint and running the Get-AzSDnsForwarder and Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>] PowerShell cmdlets. Mer information finns i privilegie rad slut punkt.For more information, see privileged endpoint.

Delegera den externa DNS-zonen till Azure StackDelegating the external DNS zone to Azure Stack

För att DNS-namn ska kunna matchas från platser utanför en Azure Stack-distribution måste du konfigurera DNS-delegering.For DNS names to be resolvable from outside an Azure Stack deployment, you need to set up DNS delegation.

Varje registrator har sina egna DNS-hanteringsverktyg för att ändra namnserverposterna för en domän.Each registrar has their own DNS management tools to change the name server records for a domain. På registratorns DNS-hantering redigerar du NS-posterna och ersätter NS-posterna för zonen med dem i Azure Stack.In the registrar's DNS management page, edit the NS records and replace the NS records for the zone with the ones in Azure Stack.

De flesta DNS-registratorer kräver att du anger minst två DNS-servrar för att slutföra delegeringen.Most DNS registrars require you to provide a minimum of two DNS servers to complete the delegation.

BrandväggFirewall

Azure Stack konfigurerar virtuella IP-adresser (VIP) för infrastruktur roller.Azure Stack sets up virtual IP addresses (VIPs) for its infrastructure roles. Dessa VIP: er tilldelas från den offentliga IP-adresspoolen.These VIPs are allocated from the public IP address pool. Varje VIP skyddas med en åtkomst kontrol lista (ACL) i det program varu som definieras av nätverks lagret.Each VIP is secured with an access control list (ACL) in the software-defined network layer. ACL: er används också i de fysiska växlarna (TORs och BMC) för att ytterligare förstärka lösningen.ACLs are also used across the physical switches (TORs and BMC) to further harden the solution. En DNS-post skapas för varje slut punkt i den externa DNS-zon som anges vid distributions tiden.A DNS entry is created for each endpoint in the external DNS zone that's specified at deployment time. Användar portalen tilldelas till exempel DNS-postadressen för portalen. <region>.<fqdn>.For example, the user portal is assigned the DNS host entry of portal.<region>.<fqdn>.

Följande arkitektur diagram visar olika nätverks lager och ACL: er:The following architectural diagram shows the different network layers and ACLs:

arkitektur diagram visar olika nätverks lager och ACL: er

Portar och URL: erPorts and URLs

Om du vill göra Azure Stack tjänster (t. ex. portaler, Azure Resource Manager, DNS och så vidare) tillgängliga för externa nätverk måste du tillåta inkommande trafik till dessa slut punkter för vissa URL: er, portar och protokoll.To make Azure Stack services (like the portals, Azure Resource Manager, DNS, and so on) available to external networks, you must allow inbound traffic to these endpoints for specific URLs, ports, and protocols.

I en distribution där en transparent proxy länkar till en traditionell proxyserver eller en brand vägg skyddar lösningen måste du tillåta vissa portar och URL: er för både inkommande och utgående kommunikation.In a deployment where a transparent proxy uplinks to a traditional proxy server or a firewall is protecting the solution, you must allow specific ports and URLs for both inbound and outbound communication. Detta inkluderar portar och URL: er för identitet, marknads plats, uppdaterings-, registrerings-och användnings data.These include ports and URLs for identity, the marketplace, patch and update, registration, and usage data.

Utgående kommunikationOutbound communication

Azure Stack stöder endast transparenta proxyservrar.Azure Stack supports only transparent proxy servers. I en distribution med transparent proxy-överordnad länk till en traditionell proxyserver måste du tillåta portarna och webb adresserna i följande tabell för utgående kommunikation vid distribution i anslutet läge.In a deployment with a transparent proxy uplink to a traditional proxy server, you must allow the ports and URLs in the following table for outbound communication when deploying in connected mode.

SSL-trafik avlyssning stöds inte och kan leda till tjänst problem vid åtkomst till slut punkter.SSL traffic interception is not supported and can lead to service failures when accessing endpoints. Den maximala tids gräns som stöds för kommunikation med slut punkter som krävs för identiteten är 60 s.The maximum supported timeout to communicate with endpoints required for identity is 60s.

Anteckning

Azure Stack stöder inte användning av ExpressRoute för att komma åt de Azure-tjänster som anges i följande tabell eftersom ExpressRoute kanske inte kan dirigera trafik till alla slut punkter.Azure Stack doesn’t support using ExpressRoute to reach the Azure services listed in the following table because ExpressRoute may not be able to route traffic to all of the endpoints.

SyftePurpose Mål-URLDestination URL ProtokollProtocol PortarPorts Käll nätverkSource Network
IdentitetIdentity AzureAzure
login.windows.netlogin.windows.net
login.microsoftonline.comlogin.microsoftonline.com
graph.windows.netgraph.windows.net
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
www.office.comwww.office.com
ManagementServiceUri = https: / /Management.Core.Windows.netManagementServiceUri = https://management.core.windows.net
ARMUri = https: / /Management.Azure.comARMUri = https://management.azure.com
https: / / * . msftauth.nethttps://*.msftauth.net
https: / / * . msauth.nethttps://*.msauth.net
https: / / * . msocdn.comhttps://*.msocdn.com
Azure GovernmentAzure Government
https: / /login.microsoftonline.us/https://login.microsoftonline.us/
https: / /Graph.Windows.net/https://graph.windows.net/
Azure Kina 21VianetAzure China 21Vianet
https: / /login.chinacloudapi.cn/https://login.chinacloudapi.cn/
https: / /Graph.chinacloudapi.cn/https://graph.chinacloudapi.cn/
Azure TysklandAzure Germany
https: / /login.microsoftonline.de/https://login.microsoftonline.de/
https: / /Graph.cloudapi.de/https://graph.cloudapi.de/
HTTPHTTP
HTTPSHTTPS
8080
443443
Offentlig VIP-/27Public VIP - /27
Nätverk för offentlig infrastrukturPublic infrastructure Network
Marketplace-syndikeringMarketplace syndication AzureAzure
https://management.azure.comhttps://management.azure.com
https://*. blob.core.windows.nethttps://*.blob.core.windows.net
https://*. azureedge.nethttps://*.azureedge.net
Azure GovernmentAzure Government
https: / /Management.usgovcloudapi.net/https://management.usgovcloudapi.net/
https://*. blob.core.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/
Azure Kina 21VianetAzure China 21Vianet
https: / /Management.chinacloudapi.cn/https://management.chinacloudapi.cn/
http://*. blob.core.chinacloudapi.cnhttp://*.blob.core.chinacloudapi.cn
HTTPSHTTPS 443443 Offentlig VIP-/27Public VIP - /27
Uppdatering av uppdaterings &Patch & Update https://*. azureedge.nethttps://*.azureedge.net
https: / /aka.MS/azurestackautomaticupdatehttps://aka.ms/azurestackautomaticupdate
HTTPSHTTPS 443443 Offentlig VIP-/27Public VIP - /27
RegistreringRegistration AzureAzure
https://management.azure.comhttps://management.azure.com
Azure GovernmentAzure Government
https: / /Management.usgovcloudapi.net/https://management.usgovcloudapi.net/
Azure Kina 21VianetAzure China 21Vianet
https: / /Management.chinacloudapi.cnhttps://management.chinacloudapi.cn
HTTPSHTTPS 443443 Offentlig VIP-/27Public VIP - /27
AnvändningUsage AzureAzure
https://*. trafficmanager.nethttps://*.trafficmanager.net
Azure GovernmentAzure Government
https://*. usgovtrafficmanager.nethttps://*.usgovtrafficmanager.net
Azure Kina 21VianetAzure China 21Vianet
https://*. trafficmanager.cnhttps://*.trafficmanager.cn
HTTPSHTTPS 443443 Offentlig VIP-/27Public VIP - /27
Windows DefenderWindows Defender *. wdcp.microsoft.com*.wdcp.microsoft.com
*. wdcpalt.microsoft.com*.wdcpalt.microsoft.com
*. wd.microsoft.com*.wd.microsoft.com
*. update.microsoft.com*.update.microsoft.com
*. download.microsoft.com*.download.microsoft.com
https: / /www.Microsoft.com/pkiops/CRLhttps://www.microsoft.com/pkiops/crl
https: / /www.Microsoft.com/pkiops/certshttps://www.microsoft.com/pkiops/certs
https: / /CRL.Microsoft.com/PKI/CRL/productshttps://crl.microsoft.com/pki/crl/products
https: / /www.Microsoft.com/PKI/certshttps://www.microsoft.com/pki/certs
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
HTTPSHTTPS 8080
443443
Offentlig VIP-/27Public VIP - /27
Nätverk för offentlig infrastrukturPublic infrastructure Network
NTPNTP (IP för NTP-server som tillhandahålls för distribution)(IP of NTP server provided for deployment) UDPUDP 123123 Offentlig VIP-/27Public VIP - /27
DNSDNS (IP för DNS-server som tillhandahålls för distribution)(IP of DNS server provided for deployment) TCPTCP
UDPUDP
5353 Offentlig VIP-/27Public VIP - /27
LISTORCRL (URL under CRL distributions platser på ditt certifikat)(URL under CRL Distribution Points on your certificate) HTTPHTTP 8080 Offentlig VIP-/27Public VIP - /27
LDAPLDAP Active Directory skog som tillhandahålls för graf-integreringActive Directory Forest provided for Graph integration TCPTCP
UDPUDP
389389 Offentlig VIP-/27Public VIP - /27
LDAP SSLLDAP SSL Active Directory skog som tillhandahålls för graf-integreringActive Directory Forest provided for Graph integration TCPTCP 636636 Offentlig VIP-/27Public VIP - /27
LDAP-GCLDAP GC Active Directory skog som tillhandahålls för graf-integreringActive Directory Forest provided for Graph integration TCPTCP 32683268 Offentlig VIP-/27Public VIP - /27
LDAP GC SSLLDAP GC SSL Active Directory skog som tillhandahålls för graf-integreringActive Directory Forest provided for Graph integration TCPTCP 32693269 Offentlig VIP-/27Public VIP - /27
AD FSAD FS AD FS metadata-slutpunkt som angetts för AD FS-integreringAD FS metadata endpoint provided for AD FS integration TCPTCP 443443 Offentlig VIP-/27Public VIP - /27
Samlings tjänst för diagnostikloggarDiagnostic Log collection service Azure Storage angiven BLOB SAS-webbadressAzure Storage provided Blob SAS URL HTTPSHTTPS 443443 Offentlig VIP-/27Public VIP - /27

Inkommande kommunikationInbound communication

En uppsättning infrastrukturs-VIP krävs för att publicera Azure Stack slut punkter till externa nätverk.A set of infrastructure VIPs is required for publishing Azure Stack endpoints to external networks. I tabellen slut punkt (VIP) visas varje slut punkt, port och protokoll som krävs.The Endpoint (VIP) table shows each endpoint, the required port, and protocol. Se dokumentationen för den aktuella Resource Provider-distributionen för slut punkter som kräver ytterligare resurs leverantörer, t. ex. SQL Resource Provider.Refer to the specific resource provider deployment documentation for endpoints that require additional resource providers, like the SQL resource provider.

Den interna infrastruktur-VIP: en listas inte eftersom de inte krävs för att publicera Azure Stack.Internal infrastructure VIPs aren't listed because they're not required for publishing Azure Stack. Användarens VIP-adresser är dynamiska och definieras av användarna, utan kontroll av operatorn Azure StackUser VIPs are dynamic and defined by the users themselves, with no control by the Azure Stack operator

Anteckning

IKEv2 VPN är en standardbaserad IPsec VPN-lösning som använder UDP-port 500 och 4500 och TCP-port 50.IKEv2 VPN is a standards-based IPsec VPN solution that uses UDP port 500 and 4500 and TCP port 50. Brand väggarna öppnar inte alltid dessa portar, så ett IKEv2-VPN kanske inte kan bläddra i proxyservrar och brand väggar.Firewalls don’t always open these ports, so an IKEv2 VPN might not be able to traverse proxies and firewalls.

Slut punkt (VIP)Endpoint (VIP) DNS-värd A-postDNS host A record ProtokollProtocol PortarPorts
AD FSAD FS ADFS. < region>. < FQDN->Adfs.<region>.<fqdn> HTTPSHTTPS 443443
Portal (administratör)Portal (administrator) Adminportal. < region>. < FQDN->Adminportal.<region>.<fqdn> HTTPSHTTPS 443443
AdminhostingAdminhosting *. adminhosting. <region> .<fqdn>*.adminhosting.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (administratör)Azure Resource Manager (administrator) Adminmanagement. < region>. < FQDN->Adminmanagement.<region>.<fqdn> HTTPSHTTPS 443443
Portal (användare)Portal (user) Portal. < region>. < FQDN->Portal.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (användare)Azure Resource Manager (user) Hanterings. < region>. < FQDN->Management.<region>.<fqdn> HTTPSHTTPS 443443
GraphGraph Rita. < region>. < FQDN->Graph.<region>.<fqdn> HTTPSHTTPS 443443
Lista över återkallade certifikatCertificate revocation list CRL.< region>. < FQDN->Crl.<region>.<fqdn> HTTPHTTP 8080
DNSDNS *. < region>. < FQDN->*.<region>.<fqdn> TCP & UDPTCP & UDP 5353
HostingHosting * <region> . hosting.<fqdn>*.hosting.<region>.<fqdn> HTTPSHTTPS 443443
Key Vault (användare)Key Vault (user) *. Vault. < region>. < FQDN->*.vault.<region>.<fqdn> HTTPSHTTPS 443443
Key Vault (administratör)Key Vault (administrator) *. adminvault. < region>. < FQDN->*.adminvault.<region>.<fqdn> HTTPSHTTPS 443443
LagringsköStorage Queue *. Queue. < region>. < FQDN->*.queue.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Lagrings tabellStorage Table *. Table. < region>. < FQDN->*.table.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Storage BlobStorage Blob *. blob. < region>. < FQDN->*.blob.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
SQL-resurs-ProviderSQL Resource Provider sqladapter.dbadapter. < region>. < FQDN->sqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
MySQL-resurs leverantörMySQL Resource Provider mysqladapter.dbadapter. < region>. < FQDN->mysqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
App ServiceApp Service *. AppService. < region>. < FQDN->*.appservice.<region>.<fqdn> TCPTCP 80 (HTTP)80 (HTTP)
443 (HTTPS)443 (HTTPS)
8172 (MSDeploy)8172 (MSDeploy)
*. scm. AppService. < region>. < FQDN->*.scm.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
API. AppService. < region>. < FQDN->api.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
44300 (Azure Resource Manager)44300 (Azure Resource Manager)
FTP. AppService. < region>. < FQDN->ftp.appservice.<region>.<fqdn> TCP, UDPTCP, UDP 21, 1021, 10001-10100 (FTP)21, 1021, 10001-10100 (FTP)
990 (FTPS)990 (FTPS)
VPN-gatewayerVPN Gateways Se vanliga frågor och svar om VPN gateway.See the VPN gateway FAQ.