Ağ tümleştirmesiNetwork integration

Bu makalede, Azure modüler veri merkezi için Azure Stack Ağ tümleştirmesi ele alınmaktadır.This article covers Azure Stack network integration for Azure Modular Datacenter.

Ağ tümleştirme planlaması, başarılı Azure Stack tümleşik sistemler dağıtımı, işlemi ve yönetimi için önemli bir önkoşuldur.Network integration planning is an important prerequisite for successful Azure Stack integrated systems deployment, operation, and management. Sınır bağlantı planlaması, Sınır Ağ Geçidi Protokolü (BGP) veya statik yönlendirme ile dinamik yönlendirmeyi kullanmak istiyorsanız öğesini seçerek başlar.Border connectivity planning begins by choosing if you want to use dynamic routing with the Border Gateway Protocol (BGP) or static routing. Dinamik yönlendirme için bir 16 bit BGP otonom sistem numarası (genel veya özel) atamanız gerekir.Dynamic routing requires that you assign a 16-bit BGP autonomous system number (public or private). Statik yönlendirme, kenarlık cihazlarına atanan statik bir varsayılan yol kullanır.Static routing uses a static default route that's assigned to the border devices.

Edge anahtarları, fiziksel arabirimlerde yapılandırılmış noktadan noktaya IP 'Ler (/30 ağ) ile katman 3 yukarı bağlantılar gerektirir.The edge switches require Layer 3 uplinks with point-to-point IPs (/30 networks) configured on the physical interfaces. Azure Stack işlemleri destekleyen kenar anahtarları olan katman 2 yukarı bağlantılar desteklenmez.Layer 2 uplinks with edge switches supporting Azure Stack operations isn't supported.

BGP yönlendirmeBGP routing

BGP gibi dinamik bir yönlendirme protokolü kullanmak sisteminizin ağ değişikliklerinin her zaman farkında olmasını sağlar ve yönetimini kolaylaştırır.Using a dynamic routing protocol like BGP guarantees that your system is always aware of network changes and facilitates administration. Gelişmiş güvenlik için, uç ve kenarlık arasındaki BGP eşleme üzerinde bir parola ayarlayabilirsiniz.For enhanced security, you can set a password on the BGP peering between the edge and the border.

Aşağıdaki diyagramda gösterildiği gibi, raf üstü (TOR) anahtarındaki özel IP alanının tanıtılması bir ön ek listesi kullanılarak engellenir.As shown in the following diagram, advertising of the private IP space on the top-of-rack (TOR) switch is blocked by using a prefix list. Ön ek listesi özel ağın tanıtımını reddeder ve bu, TOR ile kenar arasındaki bağlantıda bir yol haritası olarak uygulanır.The prefix list denies the advertisement of the private network, and it's applied as a route map on the connection between the TOR and the edge.

Azure Stack çözümü içinde çalışan yazılım yük dengeleyici (SLB), sanal cihaz adreslerini dinamik olarak tanıtmak için TOR cihazlarına eşler.The software load balancer (SLB) running inside the Azure Stack solution peers to the TOR devices so it can dynamically advertise the VIP addresses.

Kullanıcı trafiğinin hatadan hemen ve şeffaf bir şekilde kurtarılmasından emin olmak için, TOR cihazları arasında yapılandırılan sanal özel bulut veya çok kasali bağlantı toplama (MLAG), IP ağları için ağ artıklığı sağlayan ana bilgisayarlar ve HSRP veya VRRP için MLAG kullanılmasına izin verir.To ensure that user traffic immediately and transparently recovers from failure, the virtual private cloud or multi-chassis link aggregation (MLAG) configured between the TOR devices allows the use of MLAG to the hosts and HSRP or VRRP that provides network redundancy for the IP networks.

Statik yönlendirmeStatic routing

Statik yönlendirme, sınır cihazlara ek yapılandırma gerektirir.Static routing requires additional configuration to the border devices. Bu, herhangi bir değişiklikten önce daha el ile müdahale ve yönetimin yanı sıra kapsamlı analizler de gerektirir.It requires more manual intervention and management as well as thorough analysis before any change. Yapılandırma hatasından kaynaklanan sorunlar, yapılan değişikliklere bağlı olarak geri almak daha fazla zaman alabilir.Issues caused by a configuration error might take more time to roll back depending on the changes made. Bu yönlendirme yöntemini önermeyiz, ancak desteklenir.We don't recommend this routing method, but it's supported.

Statik yönlendirmeyi kullanarak Azure Stack ağ ortamınıza bütünleştirmek için, kenarlık ve kenar aygıtı arasındaki dört fiziksel bağlantı bağlanmalıdır.To integrate Azure Stack into your networking environment by using static routing, all four physical links between the border and the edge device must be connected. Statik yönlendirmenin nasıl çalıştığı ile yüksek kullanılabilirlik garanti edilemez.High availability can't be guaranteed because of how static routing works.

Sınır cihazı, Azure Stack içindeki herhangi bir ağa giden trafik için kenar ve kenarlık arasında ayarlanan dört noktadan noktaya IP 'nin her birini işaret eden statik yollarla yapılandırılmalıdır.The border device must be configured with static routes pointing to each one of the four point-to-point IPs set between the edge and the border for traffic destined to any network inside Azure Stack. Ancak, işlem için yalnızca dış veya genel VIP ağı gereklidir.But, only the external or public VIP network is required for operation. İlk dağıtım için BMC 'ye ve dış ağlara yönelik statik yollar gereklidir.Static routes to the BMC and the external networks are required for initial deployment. İşleçler, BMC ve altyapı ağı üzerinde bulunan yönetim kaynaklarına erişmek için, kenarlıkta statik yollardan ayrılmamaya izin verebilir.Operators can choose to leave static routes in the border to access management resources that reside on the BMC and the infrastructure network. Anahtar altyapısına ve anahtar yönetim ağlarına statik yollar eklemek isteğe bağlıdır.Adding static routes to switch infrastructure and switch management networks is optional.

TOR cihazları, tüm trafiği kenarlık cihazlarına gönderen statik bir varsayılan yol ile yapılandırılır.The TOR devices are configured with a static default route sending all traffic to the border devices. Varsayılan kural için tek trafik özel durumu, TOR-to-Border bağlantısına uygulanan bir erişim denetim listesi kullanılarak engellenen özel alana yöneliktir.The one traffic exception to the default rule is for the private space, which is blocked by using an access control list applied on the TOR-to-border connection.

Statik yönlendirme yalnızca kenar ve kenarlık anahtarları arasındaki yukarı bağlantılar için geçerlidir.Static routing applies only to the uplinks between the edge and border switches. BGP dinamik yönlendirmesi, SLB ve diğer bileşenler için gerekli bir araç olduğundan ve devre dışı bırakılacağından veya kaldırılacağından raf içinde kullanılır.BGP dynamic routing is used inside the rack because it's an essential tool for the SLB and other components and can't be disabled or removed.

* BMC ağı dağıtımdan sonra isteğe bağlıdır.* The BMC network is optional after deployment.

** Tüm ağ anahtar yönetim ağına dahil edilebilir olduğundan anahtar altyapısı ağı isteğe bağlıdır.** The switch infrastructure network is optional because the whole network can be included in the switch management network.

*** Anahtar yönetimi ağı gereklidir ve anahtar altyapısı ağından ayrı olarak eklenebilir.*** The switch management network is required and can be added separately from the switch infrastructure network.

Saydam proxyTransparent proxy

Veri merkeziniz tüm trafiğin bir proxy kullanmasını gerektiriyorsa, bir saydam proxy 'yi ilkeye göre işlemek için raftaki tüm trafiği işleyecek şekilde yapılandırmanız gerekir.If your datacenter requires all traffic to use a proxy, you must configure a transparent proxy to process all traffic from the rack to handle it according to policy. Ağınızdaki bölgeler arasında trafiği ayırmanız gerekir.You must separate traffic between the zones on your network.

Azure Stack çözümü normal web proxy 'lerini desteklemez.The Azure Stack solution doesn't support normal web proxies.

Saydam bir ara sunucu (kesme, satır içi veya zorlamalı ara sunucu olarak da bilinir), herhangi bir özel istemci yapılandırması gerekmeden Ağ katmanında normal iletişimi keser.A transparent proxy (also known as an intercepting, inline, or forced proxy) intercepts normal communication at the network layer without requiring any special client configuration. İstemcilerin proxy varlığını farkında olması gerekmez.Clients don't need to be aware of the existence of the proxy.

SSL trafik yakaalımı desteklenmez ve uç noktalara erişirken hizmet hatalarına neden olabilir.SSL traffic interception isn't supported and can lead to service failures when accessing endpoints. Kimlik için gereken en fazla desteklenen zaman aşımı süresi, üç yeniden deneme girişimi olan 60 saniyedir.The maximum supported timeout to communicate with endpoints required for identity is 60 seconds with three retry attempts.

DNSDNS

Bu bölüm, etki alanı adı sistemi (DNS) yapılandırmasını içerir.This section covers Domain Name System (DNS) configuration.

Koşullu DNS iletmeyi yapılandırmaConfigure conditional DNS forwarding

Bu kılavuz yalnızca bir Active Directory Federasyon Hizmetleri (AD FS) (AD FS) dağıtımı için geçerlidir.This guidance only applies to an Active Directory Federation Services (AD FS) deployment.

Mevcut DNS altyapınızla ad çözümlemesini etkinleştirmek için koşullu iletme yapılandırın.To enable name resolution with your existing DNS infrastructure, configure conditional forwarding.

Koşullu iletici eklemek için ayrıcalıklı uç noktasını kullanmanız gerekir.To add a conditional forwarder, you must use the privileged endpoint.

Bu yordamda, veri merkezi ağınızda Azure Stack ayrıcalıklı uç noktayla iletişim kurabilen bir bilgisayar kullanın.For this procedure, use a computer in your datacenter network that can communicate with the privileged endpoint in Azure Stack.

  1. Yükseltilmiş bir Windows PowerShell oturumu açın (yönetici olarak çalıştır).Open an elevated Windows PowerShell session (run as administrator). Ayrıcalıklı uç noktanın IP adresine bağlanın.Connect to the IP address of the privileged endpoint. CloudAdmin kimlik doğrulaması için kimlik bilgilerini kullanın.Use the credentials for CloudAdmin authentication.

    \$cred=Get-Credential Enter-PSSession -ComputerName \<IP Address of ERCS\> -ConfigurationName PrivilegedEndpoint -Credential \$cred 
    
  2. Ayrıcalıklı uç noktaya bağlandıktan sonra aşağıdaki PowerShell komutunu çalıştırın.After you connect to the privileged endpoint, run the following PowerShell command. Kullanmak istediğiniz DNS sunucularının etki alanı adınız ve IP adresleriyle birlikte sunulan örnek değerleri değiştirin.Substitute the sample values provided with your domain name and IP addresses of the DNS servers you want to use.

    Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2" 
    

Azure Stack dışından Azure Stack DNS adlarını çözümlemeResolve Azure Stack DNS names from outside Azure Stack

Yetkili sunucular, dış DNS bölge bilgilerini ve Kullanıcı tarafından oluşturulan tüm bölgeleri tutan olanlardır.The authoritative servers are the ones that hold the external DNS zone information and any user-created zones. Bölge temsilcisini veya koşullu yönlendirmeyi etkinleştirmek için bu sunucularla tümleştirin Azure Stack dışından Azure Stack DNS adlarını çözün.Integrate with these servers to enable zone delegation or conditional forwarding to resolve Azure Stack DNS names from outside Azure Stack.

DNS sunucusu dış uç nokta bilgilerini alGet DNS Server external endpoint information

Azure Stack dağıtımınızı DNS altyapınızla tümleştirmek için aşağıdaki bilgilere ihtiyacınız vardır:To integrate your Azure Stack deployment with your DNS infrastructure, you need the following information:

  • DNS sunucusu tam etki alanı adları (FQDN)DNS server fully qualified domain names (FQDNs)
  • DNS sunucusu IP adresleriDNS server IP addresses

Azure Stack DNS sunucuları için FQDN 'Ler aşağıdaki biçimdedir:The FQDNs for the Azure Stack DNS servers have the following format:

  • <NAMINGPREFIX>-ns01. <REGION> .<EXTERNALDOMAINNAME><NAMINGPREFIX>-ns01.<REGION>.<EXTERNALDOMAINNAME>
  • <NAMINGPREFIX>-ns02. <REGION> .<EXTERNALDOMAINNAME><NAMINGPREFIX>-ns02.<REGION>.<EXTERNALDOMAINNAME>

Örnek değerleri kullanarak DNS sunucuları için FQDN 'Ler şunlardır:Using the sample values, the FQDNs for the DNS servers are:

  • azs-ns01.east.cloud.fabrikam.comazs-ns01.east.cloud.fabrikam.com
  • azs-ns02.east.cloud.fabrikam.comazs-ns02.east.cloud.fabrikam.com

Bu bilgiler, yönetim portalı 'nda bulunur, ancak AzureStackStampInformation.js adlı bir dosyadaki tüm Azure Stack dağıtımlarının sonunda da oluşturulur.This information is available in the admin portal but also created at the end of all Azure Stack deployments in a file named AzureStackStampInformation.json. Bu dosya, dağıtım sanal makinesinin C: \ clouddeployment \ logs klasöründe bulunur.This file is located in the C:\CloudDeployment\logs folder of the deployment virtual machine. Azure Stack dağıtımınız için hangi değerlerin kullanıldığından emin değilseniz, değerleri buradan edinebilirsiniz.If you're not sure what values were used for your Azure Stack deployment, you can get the values from here.

Dağıtım sanal makinesi artık kullanılabilir değilse veya erişilebilir durumda değilse, ayrıcalıklı uç noktaya bağlanarak ve Get-Azurestackstampınformation PowerShell cmdlet 'ini çalıştırarak değerleri elde edebilirsiniz.If the deployment virtual machine is no longer available or is inaccessible, you can obtain the values by connecting to the privileged endpoint and running the Get-AzureStackStampInformation PowerShell cmdlet. Daha fazla bilgi için bkz. ayrıcalıklı uç nokta.For more information, see privileged endpoint.

Azure Stack koşullu iletmeyi ayarlamaSet up conditional forwarding to Azure Stack

DNS altyapınızla Azure Stack tümleştirme yapmanın en kolay ve en güvenli yolu, bölgenin üst bölgeyi barındıran sunucudan koşullu olarak iletilmesidir.The simplest and most secure way to integrate Azure Stack with your DNS infrastructure is to do conditional forwarding of the zone from the server that hosts the parent zone. Azure Stack dış DNS ad alanınız için üst bölgeyi barındıran DNS sunucuları üzerinde doğrudan denetiminiz varsa bu yaklaşımı öneririz.We recommend this approach if you have direct control over the DNS servers that host the parent zone for your Azure Stack external DNS namespace.

DNS ile koşullu iletme yapma konusunda bilgi sahibi değilseniz, "bir etki alanı adı için koşullu Iletici atama" veya DNS çözümünüz için özel belgeler başlıklı TechNet makalesine bakın.If you're not familiar with how to do conditional forwarding with DNS, see the TechNet article "Assign a Conditional Forwarder for a Domain Name" or the documentation specific to your DNS solution.

Dış Azure Stack DNS bölgenizin şirket etki alanı adınızın alt etki alanı gibi görünmesini istediğiniz senaryolarda koşullu iletme kullanılamaz.In scenarios where you specified your external Azure Stack DNS zone to look like a child domain of your corporate domain name, conditional forwarding can't be used. DNS temsilcisinin yapılandırılması gerekir.DNS delegation must be configured.

Örnek:Example:

  • Şirket DNS etki alanı adı: contoso.comCorporate DNS domain name: contoso.com
  • Azure Stack dış DNS etki alanı adı: azurestack.contoso.comAzure Stack external DNS domain name: azurestack.contoso.com

DNS ileticisi IP 'lerini DüzenleEdit DNS forwarder IPs

DNS ileticisi IP 'Leri Azure Stack dağıtımı sırasında ayarlanır.DNS forwarder IPs are set during deployment of Azure Stack. İleticinin IP 'Lerinin herhangi bir nedenden dolayı güncellenmesi gerekiyorsa, ayrıcalıklı uç noktaya bağlanarak ve Get-azsdnsforwarder ve set-azsdnsforwarder [[-IPAddress] <IPAddress[]> ] PowerShell cmdlet 'lerini çalıştırarak değerleri düzenleyebilirsiniz.If the forwarder IPs need to be updated for any reason, you can edit the values by connecting to the privileged endpoint and running the Get-AzSDnsForwarder and Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>] PowerShell cmdlets. Daha fazla bilgi için bkz. ayrıcalıklı uç nokta.For more information, see privileged endpoint.

Dış DNS bölgesini Azure Stack devretmekDelegate the external DNS zone to Azure Stack

Azure Stack dağıtımı dışında çözümlenebilmeniz için DNS adları için, DNS temsilcisini ayarlamanız gerekir.For DNS names to be resolvable from outside an Azure Stack deployment, you need to set up DNS delegation.

Her kayıt şirketi, bir etki alanının ad sunucusu kayıtlarını değiştirmek için kendi DNS yönetim araçlarına sahiptir.Each registrar has their own DNS management tools to change the name server records for a domain. Kayıt sahibinin DNS yönetimi sayfasında, NS kayıtlarını düzenleyin ve bölgeye ait NS kayıtlarını Azure Stack sahip olanlarla değiştirin.In the registrar's DNS management page, edit the NS records and replace the NS records for the zone with the ones in Azure Stack.

Çoğu DNS kayıt şirketlerinde, temsilciyi tamamlaması için en az iki DNS sunucusu sağlamanızı gerektirir.Most DNS registrars require you to provide a minimum of two DNS servers to complete the delegation.

Güvenlik DuvarıFirewall

Azure Stack altyapı rolleri için sanal IP adresleri (VIP) ayarlar.Azure Stack sets up virtual IP addresses (VIPs) for its infrastructure roles. Bu VIP 'ler genel IP adresi havuzundan ayrılır.These VIPs are allocated from the public IP address pool. Her VIP, yazılım tanımlı ağ katmanında bir erişim denetim listesi (ACL) ile güvenli hale getirilir.Each VIP is secured with an access control list (ACL) in the software-defined network layer. ACL 'Ler, çözümün daha fazla olması için fiziksel anahtarlar (lar ve BMC) genelinde da kullanılır.ACLs are also used across the physical switches (TORs and BMC) to further harden the solution. Dağıtım zamanında belirtilen dış DNS bölgesindeki her bir uç nokta için bir DNS girişi oluşturulur.A DNS entry is created for each endpoint in the external DNS zone that's specified at deployment time. Örneğin, Kullanıcı portalına portalın DNS ana bilgisayar girişi atanır. <region>.<fqdn>.For example, the user portal is assigned the DNS host entry of portal.<region>.<fqdn>.

Aşağıdaki mimari diyagramda farklı ağ katmanları ve ACL 'Ler gösterilmektedir.The following architectural diagram shows the different network layers and ACLs.

Mimari diyagram farklı ağ katmanlarını ve ACL 'Leri gösterir.

Bağlantı noktaları ve URL 'LerPorts and URLs

Portallar, Azure Resource Manager ve DNS gibi dış ağlarda kullanılabilir Azure Stack hizmetleri oluşturmak için belirli URL 'Ler, bağlantı noktaları ve protokoller için bu uç noktalara gelen trafiğe izin vermeniz gerekir.To make Azure Stack services like portals, Azure Resource Manager, and DNS available to external networks, you must allow inbound traffic to these endpoints for specific URLs, ports, and protocols.

Geleneksel bir ara sunucu veya bir güvenlik duvarının, çözümü koruduğu bir dağıtımda, hem gelen hem de giden iletişim için belirli bağlantı noktalarına ve URL 'Lere izin vermeniz gerekir.In a deployment where a transparent proxy uplinks to a traditional proxy server or a firewall is protecting the solution, you must allow specific ports and URLs for both inbound and outbound communication. Kimlik bağlantı noktaları ve URL 'Ler, Azure Stack hub Marketi, düzeltme eki ve güncelleştirme, kayıt ve kullanım verileri verilebilir.Examples include ports and URLs for identity, Azure Stack Hub Marketplace, patch and update, registration, and usage data.

Giden iletişimOutbound communication

Azure Stack yalnızca saydam proxy sunucuları destekler.Azure Stack supports only transparent proxy servers. Geleneksel bir ara sunucuya şeffaf bir ara sunucu yukarı bağlantısı olan dağıtımda, bağlı modda dağıtırken giden iletişim için aşağıdaki tablodaki bağlantı noktalarına ve URL 'Lere izin vermeniz gerekir.In a deployment with a transparent proxy uplink to a traditional proxy server, you must allow the ports and URLs in the following table for outbound communication when you deploy in connected mode.

SSL trafik yakaalımı desteklenmez ve uç noktalara erişirken hizmet hatalarına neden olabilir.SSL traffic interception isn't supported and can lead to service failures when accessing endpoints. Kimlik için gerekli olan uç noktalarla iletişim kurmak için desteklenen en fazla zaman aşımı süresi 60 saniyedir.The maximum supported timeout to communicate with endpoints required for identity is 60 seconds.

Not

Azure Stack, ExpressRoute trafiği tüm uç noktalara yönlendiremediği için aşağıdaki tabloda listelenen Azure hizmetlerine ulaşmak üzere Azure ExpressRoute kullanımını desteklemez.Azure Stack doesn't support using Azure ExpressRoute to reach the Azure services listed in the following table because ExpressRoute might not be able to route traffic to all of the endpoints.

AmaçPurpose Hedef URL 'SIDestination URL ProtokolProtocol Bağlantı noktalarıPorts Kaynak ağSource network
KimlikIdentity AzureAzure
login.windows.netlogin.windows.net
login.microsoftonline.comlogin.microsoftonline.com
graph.windows.netgraph.windows.net
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
www.office.comwww.office.com
ManagementServiceUri = https: / /Management.Core.Windows.netManagementServiceUri = https://management.core.windows.net
ARMUri = https: / /Management.Azure.comARMUri = https://management.azure.com
https: / / * . msftauth.nethttps://*.msftauth.net
https: / / * . msauth.nethttps://*.msauth.net
https: / / * . msocdn.comhttps://*.msocdn.com
Azure Devlet KurumlarıAzure Government
https: / /login.microsoftonline.us/https://login.microsoftonline.us/
https: / /Graph.Windows.net/https://graph.windows.net/
Azure China 21VianetAzure China 21Vianet
https: / /login.chinacloudapi.cn/https://login.chinacloudapi.cn/
https: / /Graph.chinacloudapi.cn/https://graph.chinacloudapi.cn/
Azure AlmanyaAzure Germany
https: / /login.microsoftonline.de/https://login.microsoftonline.de/
https: / /Graph.cloudapi.de/https://graph.cloudapi.de/
HTTPHTTP
HTTPSHTTPS
8080
443443
Genel VIP-/27Public VIP - /27
Ortak altyapı ağıPublic infrastructure network
Azure Stack hub Market dağıtımıAzure Stack Hub Marketplace syndication AzureAzure
https://management.azure.comhttps://management.azure.com
https://*. blob.core.windows.nethttps://*.blob.core.windows.net
https://*. azureedge.nethttps://*.azureedge.net
Azure Devlet KurumlarıAzure Government
https: / /Management.usgovcloudapi.net/https://management.usgovcloudapi.net/
https://*. blob.core.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/
Azure China 21VianetAzure China 21Vianet
https: / /Management.chinacloudapi.cn/https://management.chinacloudapi.cn/
http://*. blob.core.chinacloudapi.cnhttp://*.blob.core.chinacloudapi.cn
HTTPSHTTPS 443443 Genel VIP-/27Public VIP - /27
Düzeltme Eki ve güncelleştirmePatch and update https://*. azureedge.nethttps://*.azureedge.net
https: / /aka.MS/azurestackautomaticupdatehttps://aka.ms/azurestackautomaticupdate
HTTPSHTTPS 443443 Genel VIP-/27Public VIP - /27
KayıtRegistration AzureAzure
https://management.azure.comhttps://management.azure.com
Azure Devlet KurumlarıAzure Government
https: / /Management.usgovcloudapi.net/https://management.usgovcloudapi.net/
Azure China 21VianetAzure China 21Vianet
https: / /Management.chinacloudapi.cnhttps://management.chinacloudapi.cn
HTTPSHTTPS 443443 Genel VIP-/27Public VIP - /27
KullanımUsage AzureAzure
https://*. trafficmanager.nethttps://*.trafficmanager.net
Azure Devlet KurumlarıAzure Government
https://*. usgovtrafficmanager.nethttps://*.usgovtrafficmanager.net
Azure China 21VianetAzure China 21Vianet
https://*. trafficmanager.cnhttps://*.trafficmanager.cn
HTTPSHTTPS 443443 Genel VIP-/27Public VIP - /27
Windows DefenderWindows Defender *. wdcp.microsoft.com*.wdcp.microsoft.com
*. wdcpalt.microsoft.com*.wdcpalt.microsoft.com
*. wd.microsoft.com*.wd.microsoft.com
*. update.microsoft.com*.update.microsoft.com
*. download.microsoft.com*.download.microsoft.com
https: / /www.Microsoft.com/pkiops/CRLhttps://www.microsoft.com/pkiops/crl
https: / /www.Microsoft.com/pkiops/certshttps://www.microsoft.com/pkiops/certs
https: / /CRL.Microsoft.com/pki/CRL/Productshttps://crl.microsoft.com/pki/crl/products
https: / /www.Microsoft.com/pki/certshttps://www.microsoft.com/pki/certs
https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
HTTPSHTTPS 8080
443443
Genel VIP-/27Public VIP - /27
Ortak altyapı ağıPublic infrastructure network
NTPNTP Dağıtım için belirtilen NTP sunucusu IP 'siIP of NTP server provided for deployment UDPUDP 123123 Genel VIP-/27Public VIP - /27
DNSDNS Dağıtım için belirtilen DNS sunucusu IP 'siIP of DNS server provided for deployment TCPTCP
UDPUDP
5353 Genel VIP-/27Public VIP - /27
KULLANıMACRL Sertifikalarınızın CRL dağıtım noktaları altındaki URLURL under CRL Distribution Points on your certificate HTTPHTTP 8080 Genel VIP-/27Public VIP - /27
LDAPLDAP Azure Graph tümleştirmesi için belirtilen Active Directory ormanıActive Directory forest provided for Azure Graph integration TCPTCP
UDPUDP
389389 Genel VIP-/27Public VIP - /27
LDAP SSLLDAP SSL Graph tümleştirmesi için belirtilen Active Directory ormanıActive Directory forest provided for Graph integration TCPTCP 636636 Genel VIP-/27Public VIP - /27
LDAP GCLDAP GC Graph tümleştirmesi için belirtilen Active Directory ormanıActive Directory forest provided for Graph integration TCPTCP 32683268 Genel VIP-/27Public VIP - /27
LDAP GC SSLLDAP GC SSL Graph tümleştirmesi için belirtilen Active Directory ormanıActive Directory forest provided for Graph integration TCPTCP 32693269 Genel VIP-/27Public VIP - /27
AD FSAD FS AD FS tümleştirmesi için belirtilen meta veri uç noktası AD FSAD FS metadata endpoint provided for AD FS integration TCPTCP 443443 Genel VIP-/27Public VIP - /27
Tanılama günlüğü toplama hizmetiDiagnostic log collection service Azure Blob depolama tarafından belirtilen paylaşılan erişim imzası URL 'SIAzure Blob Storage-provided shared access signature URL HTTPSHTTPS 443443 Genel VIP-/27Public VIP - /27

Gelen iletişimInbound communication

Dış ağlara Azure Stack uç noktaları yayımlamak için bir altyapı VIP kümesi gereklidir.A set of infrastructure VIPs is required for publishing Azure Stack endpoints to external networks. Uç nokta (VIP) tablosunda her uç nokta, gerekli bağlantı noktası ve protokol gösterilmektedir.The Endpoint (VIP) table shows each endpoint, the required port, and protocol. SQL kaynak sağlayıcısı gibi ek kaynak sağlayıcıları gerektiren uç noktalar için, belirli kaynak sağlayıcısı dağıtım belgelerine bakın.For endpoints that require additional resource providers, like the SQL resource provider, see the specific resource provider deployment documentation.

Azure Stack yayımlamak için gerekli olmadıklarından iç altyapı VIP 'leri listelenmez.Internal infrastructure VIPs aren't listed because they're not required for publishing Azure Stack. Kullanıcı VIP 'leri, Azure Stack işleci tarafından denetim olmadan dinamik ve kullanıcılar tarafından tanımlanır.User VIPs are dynamic and defined by the users themselves, with no control by the Azure Stack operator.

Not

IKEv2 VPN, UDP bağlantı noktası 500 ve 4500 ve TCP bağlantı noktası 50 kullanan standart tabanlı bir IPSec VPN çözümüdür.IKEv2 VPN is a standards-based IPsec VPN solution that uses UDP port 500 and 4500 and TCP port 50. Güvenlik duvarları bu bağlantı noktalarını her zaman açmaz, bu nedenle IKEv2 VPN, proxy 'leri ve güvenlik duvarlarını geçemeyebilir.Firewalls don't always open these ports, so an IKEv2 VPN might not be able to traverse proxies and firewalls.

Uç nokta (VIP)Endpoint (VIP) DNS ana bilgisayar A kaydıDNS host A record ProtokolProtocol Bağlantı noktalarıPorts
AD FSAD FS FS. < bölge>. < FQDN>Adfs.<region>.<fqdn> HTTPSHTTPS 443443
Azure portal (yönetici)Azure portal (administrator) Adminportal. < bölge>. < FQDN>Adminportal.<region>.<fqdn> HTTPSHTTPS 443443
AdminhostingAdminhosting *. adminhosting. <region> .<fqdn>*.adminhosting.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (yönetici)Azure Resource Manager (administrator) Adminmanagement. < bölge>. < FQDN>Adminmanagement.<region>.<fqdn> HTTPSHTTPS 443443
Azure portal (Kullanıcı)Azure portal (user) Portal. < bölge>. < FQDN>Portal.<region>.<fqdn> HTTPSHTTPS 443443
Azure Resource Manager (Kullanıcı)Azure Resource Manager (user) Yönetme. < bölge>. < FQDN>Management.<region>.<fqdn> HTTPSHTTPS 443443
Azure GraphAzure Graph Çıkarılamıyor. < bölge>. < FQDN>Graph.<region>.<fqdn> HTTPSHTTPS 443443
Sertifika iptal listesiCertificate revocation list CRL.< Region>. < FQDN>Crl.<region>.<fqdn> HTTPHTTP 8080
DNSDNS *. < bölge>. < FQDN>*.<region>.<fqdn> TCP & UDPTCP & UDP 5353
HostingHosting * <region> . barındırma.<fqdn>*.hosting.<region>.<fqdn> HTTPSHTTPS 443443
Azure Key Vault (Kullanıcı)Azure Key Vault (user) *. kasa. < bölge>. < FQDN>*.vault.<region>.<fqdn> HTTPSHTTPS 443443
Azure Key Vault (yönetici)Azure Key Vault (administrator) *. adminkasa. < bölge>. < FQDN>*.adminvault.<region>.<fqdn> HTTPSHTTPS 443443
Azure Kuyruk DepolamaAzure Queue Storage *. Queue. < bölge>. < FQDN>*.queue.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Azure Tablo DepolamaAzure Table Storage *. Table. < bölge>. < FQDN>*.table.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
Azure Blob DepolamaAzure Blob Storage *. blob. < bölge>. < FQDN>*.blob.<region>.<fqdn> HTTPHTTP
HTTPSHTTPS
8080
443443
SQL kaynak sağlayıcısıSQL Resource Provider sqladapter. dbadapter. < bölge>. < FQDN>sqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
MySQL kaynak sağlayıcısıMySQL Resource Provider mysqladapter. dbadapter. < bölge>. < FQDN>mysqladapter.dbadapter.<region>.<fqdn> HTTPSHTTPS 44300-4430444300-44304
Azure App ServiceAzure App Service *. appservice. < bölge>. < FQDN>*.appservice.<region>.<fqdn> TCPTCP 80 (HTTP)80 (HTTP)
443 (HTTPS)443 (HTTPS)
8172 (MSDeploy)8172 (MSDeploy)
*. scm. appservice. < bölge>. < FQDN>*.scm.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
api. appservice. < bölge>. < FQDN>api.appservice.<region>.<fqdn> TCPTCP 443 (HTTPS)443 (HTTPS)
44300 (Azure Resource Manager)44300 (Azure Resource Manager)
FTP. appservice. < bölge>. < FQDN>ftp.appservice.<region>.<fqdn> TCP, UDPTCP, UDP 21, 1021, 10001-10100 (FTP)21, 1021, 10001-10100 (FTP)
990 (FTPS)990 (FTPS)
Azure VPN GatewayAzure VPN Gateway Bkz. VPN Gateway SSSSee the VPN Gateway FAQ