Veri merkezinizde Azure Stack Hub hizmetlerini yayımlama - Modüler Veri Merkezi (MDC)

Azure Stack Hub, altyapı rolleri için sanal IP adresleri (VIP' ler) ayarlar. Bu VIP'ler genel IP adresi havuzundan ayrılır. Her VIP, yazılım tanımlı ağ katmanında bir erişim denetim listesi (ACL) ile güvenli hale getirilir. ACL'ler, çözümü daha da sağlamlaştırmak için fiziksel anahtarlar (TOR'lar ve BMC) arasında da kullanılır. Dış DNS bölgesindeki dağıtım zamanında belirtilen her uç nokta için bir DNS girişi oluşturulur. Örneğin, kullanıcı portalına portalın DNS ana bilgisayar girişi atanır. <bölge.<> fqdn>.

Aşağıdaki mimari diyagramda farklı ağ katmanları ve ACL'ler gösterilmektedir:

Diagram showing different network layers and ACLs

Bağlantı noktaları ve URL'ler

Azure Stack Hub hizmetlerini (portallar, Azure Resource Manager, DNS vb.) dış ağlarda kullanılabilir hale getirmek için belirli URL'ler, bağlantı noktaları ve protokoller için bu uç noktalara gelen trafiğe izin vermelisiniz.

Saydam ara sunucunun geleneksel bir ara sunucuya veya güvenlik duvarına yukarı bağlantılarının çözümü koruduğu bir dağıtımda, hem gelen hem de giden iletişim için belirli bağlantı noktalarına ve URL'lere izin vermelisiniz. Bunlar kimlik, market, düzeltme eki ve güncelleştirme, kayıt ve kullanım verileri için bağlantı noktalarını ve URL'leri içerir.

SSL trafiğinin kesilmesi desteklenmez ve uç noktalara erişirken hizmet hatalarına yol açabilir.

Bağlantı noktaları ve protokoller (gelen)

Azure Stack Hub uç noktalarını dış ağlara yayımlamak için bir altyapı VIP'leri kümesi gereklidir. Uç Nokta (VIP) tablosu her uç noktayı, gerekli bağlantı noktasını ve protokolü gösterir. SQL kaynak sağlayıcısı gibi ek kaynak sağlayıcıları gerektiren uç noktalar için belirli kaynak sağlayıcısı dağıtım belgelerine bakın.

Azure Stack Hub'ı yayımlamak için gerekli olmadığından iç altyapı VIP'leri listelenmez. Kullanıcı VIP'leri dinamik olup kullanıcılar tarafından tanımlanır ve Azure Stack Hub operatörü tarafından hiçbir denetim yoktur.

Not

IKEv2 VPN, UDP bağlantı noktası 500 ve 4500 ile TCP bağlantı noktası 50 kullanan standart tabanlı bir IPsec VPN çözümüdür. Güvenlik duvarları her zaman bu bağlantı noktalarını açmaz, bu nedenle IKEv2 VPN proxy'leri ve güvenlik duvarlarını geçemeyebilir.

Uzantı Konağı'nın eklenmesiyle birlikte, 12495-30015 aralığındaki bağlantı noktaları gerekli değildir.

Uç nokta (VIP) DNS ana bilgisayarı A kaydı Protokol Bağlantı noktaları
AD FS Adfs. <bölge.<> Fqdn> HTTPS 443
Portal (yönetici) Yönetici raporları. <bölge.<> Fqdn> HTTPS 443
Yönetici barındırma *.adminhosting.< bölge.>< Fqdn> HTTPS 443
Azure Resource Manager (yönetici) Yönetim. <bölge.<> Fqdn> HTTPS 443
Portal (kullanıcı) Portal. <bölge.<> Fqdn> HTTPS 443
Azure Resource Manager (kullanıcı) Yönetimi. <bölge.<> Fqdn> HTTPS 443
Graf Graph. <bölge.<> Fqdn> HTTPS 443
Sertifika iptal listesi Crl.region<.<> Fqdn> HTTP 80
DNS *. <bölge.<> Fqdn> TCP & UDP 53
Barındırma *.hosting.< bölge.>< Fqdn> HTTPS 443
Key Vault (kullanıcı) *.vault. <bölge.<> Fqdn> HTTPS 443
Key Vault (yönetici) *.adminvault. <bölge.<> Fqdn> HTTPS 443
Depolama Kuyruğu *.queue. <bölge.<> Fqdn> HTTP
HTTPS
80
443
Depolama Tablosu *.table. <bölge.<> Fqdn> HTTP
HTTPS
80
443
Depolama Blobu *.blob. <bölge.<> Fqdn> HTTP
HTTPS
80
443
SQL Kaynak Sağlayıcısı sqladapter.dbadapter. <bölge.<> Fqdn> HTTPS 44300-44304
MySQL Kaynak Sağlayıcısı mysqladapter.dbadapter. <bölge.<> Fqdn> HTTPS 44300-44304
App Service *.appservice. <bölge.<> Fqdn> TCP 80 (HTTP)
443 (HTTPS)
8172 (MSDeploy)
*.scm.appservice. <bölge.<> Fqdn> TCP 443 (HTTPS)
api.appservice. <bölge.<> Fqdn> TCP 443 (HTTPS)
44300 (Azure Resource Manager)
ftp.appservice. <bölge.<> Fqdn> TCP, UDP 21, 1021, 10001-10100 (FTP)
990 (FTPS)
VPN Ağ Geçitleri Bkz. VPN ağ geçidi hakkında SSS.

Bağlantı noktaları ve URL'ler (giden)

Azure Stack Hub yalnızca saydam ara sunucuları destekler. Geleneksel ara sunucuya saydam ara sunucu yukarı bağlantısı olan bir dağıtımda, giden iletişim için aşağıdaki tabloda yer alan bağlantı noktalarına ve URL'lere izin vermelisiniz. Saydam proxy sunucularını yapılandırma hakkında daha fazla bilgi için bkz. [Azure Stack Hub için saydam ara sunucu](.. /.. /operator/azure-stack-transparent-proxy.md).

SSL trafiğinin kesilmesi desteklenmez ve uç noktalara erişirken hizmet hatalarına yol açabilir. Kimlik için gereken uç noktalarla iletişim kurmak için desteklenen en fazla zaman aşımı 60'tır.

Not

Azure Stack Hub, aşağıdaki tabloda listelenen Azure hizmetlerine ulaşmak için ExpressRoute'un kullanılmasını desteklemez çünkü ExpressRoute trafiği tüm uç noktalara yönlendiremeyebilir.

Amaç Hedef URL Protokol / Bağlantı Noktaları Kaynak Ağ Gereksinim
Kimlik
Azure Stack Hub'ın Kullanıcı & Hizmeti kimlik doğrulaması için Azure Active Directory bağlanmasına izin verir.
Azure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure Devlet Kurumları
https://login.microsoftonline.us/
https://graph.windows.net/
Azure Almanya
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP 80,
HTTPS 443
Genel VIP - /27
Genel altyapı Ağı
Bağlı dağıtım için zorunlu.
Market dağıtımı
Öğeleri Market'ten Azure Stack Hub'a indirmenize ve Azure Stack Hub ortamını kullanarak tüm kullanıcıların kullanımına sunmanıza olanak tanır.
Azure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure Devlet Kurumları
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
HTTPS 443 Genel VIP - /27 Gerekli değildir. Görüntüleri Azure Stack Hub'a yüklemek için bağlantısı kesilmiş senaryo yönergelerini kullanın.
Düzeltme Eki & Güncelleştirmesi
Güncelleştirme uç noktalarına bağlanıldığında, Azure Stack Hub yazılım güncelleştirmeleri ve düzeltmeleri indirilebilir olarak görüntülenir.
https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 Genel VIP - /27 Gerekli değildir. Bağlantıyı kesen dağıtım bağlantısı yönergelerini kullanarak güncelleştirmeyi el ile indirin ve hazırlayın.
Kayıt
Azure Market öğeleri indirmek ve ticari veri raporlamayı Microsoft'a geri ayarlamak için Azure Stack Hub'ı Azure'a kaydetmenize olanak tanır.
Azure
https://management.azure.com
Azure Devlet Kurumları
https://management.usgovcloudapi.net/
HTTPS 443 Genel VIP - /27 Gerekli değildir. Çevrimdışı kayıt için bağlantısı kesilmiş senaryoyu kullanabilirsiniz.
Kullanım
Azure Stack Hub operatörlerinin kullanım verilerini Azure'a raporlamak için Azure Stack Hub örneğini yapılandırmasına izin verir.
Azure
https://*.trafficmanager.net
Azure Devlet Kurumları
https://*.usgovtrafficmanager.net
HTTPS 443 Genel VIP - /27 Azure Stack Hub tüketim tabanlı lisanslama modeli için gereklidir.
Windows Defender
Güncelleştirme kaynak sağlayıcısının kötü amaçlı yazılımdan koruma tanımlarını ve altyapı güncelleştirmelerini günde birden çok kez indirmesine izin verir.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.com
HTTPS 80, 443 Genel VIP - /27
Genel altyapı Ağı
Gerekli değildir. Virüsten koruma imza dosyalarını güncelleştirmek için bağlantısı kesilmiş senaryoyu kullanabilirsiniz.
NTP
Azure Stack Hub'ın zaman sunucularına bağlanmasına izin verir.
(DAĞıTıM için sağlanan NTP sunucusunun IP'si) UDP 123 Genel VIP - /27 Gerekli
DNS
Azure Stack Hub'ın DNS sunucusu ileticisine bağlanmasına izin verir.
(Dağıtım için sağlanan DNS sunucusunun IP'si) TCP & UDP 53 Genel VIP - /27 Gerekli
SYSLOG
Azure Stack Hub'ın izleme veya güvenlik amacıyla syslog iletisi göndermesine izin verir.
(Dağıtım için sağlanan SYSLOG sunucusunun IP'si) TCP 6514,
UDP 514
Genel VIP - /27 İsteğe Bağlı
CRL
Azure Stack Hub'ın sertifikaları doğrulamasına ve iptal edilen sertifikaları denetlemesine izin verir.
(Sertifikanızdaki CRL Dağıtım Noktaları altındaki URL)
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTP 80 Genel VIP - /27 Gerekli değildir. Önerilen en iyi güvenlik uygulaması.
LDAP
Azure Stack Hub'ın şirket içi Microsoft Active Directory ile iletişim kurmasına izin verir.
Graph tümleştirmesi için sağlanan Active Directory Ormanı TCP & UDP 389 Genel VIP - /27 Azure Stack Hub AD FS kullanılarak dağıtılırken gereklidir.
LDAP SSL
Azure Stack Hub'ın şirket içi Microsoft Active Directory ile şifreli iletişim kurmasına izin verir.
Graph tümleştirmesi için sağlanan Active Directory Ormanı TCP 636 Genel VIP - /27 Azure Stack Hub AD FS kullanılarak dağıtılırken gereklidir.
LDAP GC
Azure Stack Hub'ın Microsoft Etkin Genel Katalog Sunucuları ile iletişim kurmasına izin verir.
Graph tümleştirmesi için sağlanan Active Directory Ormanı TCP 3268 Genel VIP - /27 Azure Stack Hub AD FS kullanılarak dağıtılırken gereklidir.
LDAP GC SSL
Azure Stack Hub'ın Microsoft Active Directory Genel Katalog Sunucuları ile şifrelenmiş iletişim kurmasına izin verir.
Graph tümleştirmesi için sağlanan Active Directory Ormanı TCP 3269 Genel VIP - /27 Azure Stack Hub AD FS kullanılarak dağıtılırken gereklidir.
AD FS
Azure Stack Hub'ın şirket içi AD FS ile iletişim kurmasına izin verir.
AD FS tümleştirmesi için sağlanan AD FS meta veri uç noktası TCP 443 Genel VIP - /27 İsteğe bağlı. AD FS talep sağlayıcısı güveni bir meta veri dosyası kullanılarak oluşturulabilir.
Tanılama günlüğü toplama
Azure Stack Hub'ın microsoft desteğine bir operatör tarafından proaktif olarak veya el ile günlük göndermesine izin verir.
https://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPS 443 Genel VIP - /27 Gerekli değildir. Günlükleri yerel olarak kaydedebilirsiniz.

Giden URL'ler, coğrafi konuma göre mümkün olan en iyi bağlantıyı sağlamak için Azure traffic manager kullanılarak yük dengelenir. Yük dengeli URL'lerle Microsoft, müşterileri etkilemeden arka uç uç uçlarını güncelleştirebilir ve değiştirebilir. Microsoft, yük dengeli URL'ler için IP adresleri listesini paylaşmaz. IP yerine URL'ye göre filtrelemeyi destekleyen bir cihaz kullanın.

Giden DNS her zaman gereklidir; Değişen, dış DNS'yi sorgulayan kaynak ve hangi tür kimlik tümleştirmesinin seçildiğidir. Bağlı bir senaryonun dağıtımı sırasında, BMC ağında bulunan DVM'nin giden erişime ihtiyacı vardır. Ancak, dağıtımdan sonra DNS hizmeti Genel VIP üzerinden sorgu gönderecek bir iç bileşene geçer. Bu sırada, BMC ağı üzerinden giden DNS erişimi kaldırılabilir, ancak bu DNS sunucusuna Genel VIP erişimi kalmalıdır, aksi takdirde kimlik doğrulaması başarısız olur.

Sonraki adımlar

Azure Stack Hub PKI gereksinimleri