Azure Stack hub Güvenlik Duvarı tümleştirmesiAzure Stack Hub firewall integration

Azure Stack hub 'ı güvenli hale getirmek için bir güvenlik duvarı cihazı kullanmanız önerilir.It's recommended that you use a firewall device to help secure Azure Stack Hub. Güvenlik duvarları, dağıtılmış hizmet reddi (DDOS) saldırıları, yetkisiz giriş algılama ve içerik incelemesi gibi şeylere karşı savunmasına yardımcı olabilir.Firewalls can help defend against things like distributed denial-of-service (DDOS) attacks, intrusion detection, and content inspection. Ancak, blob 'lar, tablolar ve kuyruklar gibi Azure depolama hizmetleri için bir verimlilik sorunu da olabilirler.However, they can also become a throughput bottleneck for Azure storage services like blobs, tables, and queues.

Bağlantısı kesilen bir dağıtım modu kullanılırsa AD FS uç noktasını yayımlamanız gerekir.If a disconnected deployment mode is used, you must publish the AD FS endpoint. Daha fazla bilgi için bkz. veri merkezi tümleştirme kimliği makalesi.For more information, see the datacenter integration identity article.

Azure Resource Manager (yönetici), Yönetici portalı ve Key Vault (yönetici) uç noktaları için dış yayımlama gerekmez.The Azure Resource Manager (administrator), administrator portal, and Key Vault (administrator) endpoints don't necessarily require external publishing. Örneğin, bir hizmet sağlayıcı olarak, saldırı yüzeyini, internet 'ten değil yalnızca ağınızın içinden Azure Stack hub 'ını karşılaştırarak sınırlayabilirsiniz.For example, as a service provider, you could limit the attack surface by only administering Azure Stack Hub from inside your network, and not from the internet.

Kurumsal kuruluşlar için dış ağ, mevcut şirket ağı olabilir.For enterprise organizations, the external network can be the existing corporate network. Bu senaryoda, kurumsal ağdan Azure Stack hub 'ı çalıştırmak için uç noktaları yayımlamanız gerekir.In this scenario, you must publish endpoints to operate Azure Stack Hub from the corporate network.

Ağ adresi çevirisiNetwork Address Translation

Ağ adresi çevirisi (NAT), dağıtım sanal makinesinin (DVM), dağıtım sırasında dış kaynaklara ve internete ve kayıt ve sorun giderme sırasında acil durum kurtarma konsolu (ERCS) VM 'lerine veya ayrıcalıklı uç noktaya (PEP) erişmesine izin vermek için önerilen yöntemdir.Network Address Translation (NAT) is the recommended method to allow the deployment virtual machine (DVM) to access external resources and the internet during deployment as well as the Emergency Recovery Console (ERCS) VMs or privileged endpoint (PEP) during registration and troubleshooting.

NAT, dış ağdaki veya genel VIP 'lerde genel IP adresleri için de bir alternatif olabilir.NAT can also be an alternative to Public IP addresses on the external network or public VIPs. Bununla birlikte, Kiracı Kullanıcı deneyimini sınırlayan ve karmaşıklığı arttığı için bunu yapmanız önerilmez.However, it's not recommended to do so because it limits the tenant user experience and increases complexity. Tek bir seçenek, havuzda her Kullanıcı IP 'si için bir genel IP gerektiren tek bir NAT olabilir.One option would be a one to one NAT that still requires one public IP per user IP on the pool. Başka bir seçenek de bir kullanıcının kullanabileceği tüm bağlantı noktaları için Kullanıcı VIP başına NAT kuralı gerektiren bir NAT ' dır.Another option is a many to one NAT that requires a NAT rule per user VIP for all ports a user might use.

Genel VIP için NAT kullanmanın bazı altlarından bazıları şunlardır:Some of the downsides of using NAT for Public VIP are:

  • Kullanıcılar kendi uç noktalarını ve yazılım tanımlı ağ (SDN) yığınında kendi yayımlama kurallarını denetlemediğinden, NAT güvenlik duvarı kurallarını yönetirken ek yük ekler.NAT adds overhead when managing firewall rules because users control their own endpoints and their own publishing rules in the software-defined networking (SDN) stack. Kullanıcıların VIP 'lerini yayınlamalarını sağlamak ve bağlantı noktası listesini güncelleştirmek için Azure Stack hub işleciyle iletişim kurabilmesi gerekir.Users must contact the Azure Stack Hub operator to get their VIPs published, and to update the port list.
  • NAT kullanımı Kullanıcı deneyimini sınırlarken, yayımlama istekleri üzerinden operatör üzerinde tam denetim sağlar.While NAT usage limits the user experience, it gives full control to the operator over publishing requests.
  • Azure ile karma bulut senaryoları için, Azure 'un NAT kullanarak bir uç noktaya VPN tüneli ayarlamayı desteklemediğini göz önünde bulundurun.For hybrid cloud scenarios with Azure, consider that Azure doesn't support setting up a VPN tunnel to an endpoint using NAT.

SSL yakaalımıSSL interception

Tüm Azure Stack hub trafiğinden SSL yakalaşmasını (örneğin şifre çözme) devre dışı bırakmanız önerilir.It's currently recommended to disable any SSL interception (for example decryption offloading) on all Azure Stack Hub traffic. Gelecekteki güncelleştirmelerde destekleniyorsa, Azure Stack Hub için SSL yakalaşmayı etkinleştirme hakkında rehberlik sağlanacaktır.If it's supported in future updates, guidance will be provided about how to enable SSL interception for Azure Stack Hub.

Edge güvenlik duvarı senaryosuEdge firewall scenario

Bir Edge dağıtımında, Azure Stack hub doğrudan sınır yönlendiricisinin veya güvenlik duvarının arkasında dağıtılır.In an edge deployment, Azure Stack Hub is deployed directly behind the edge router or the firewall. Bu senaryolarda, güvenlik duvarının, hem etkin-etkin hem de etkin-Pasif güvenlik duvarı yapılandırmalarını desteklediği ya da sınır aygıtı (Senaryo 2) olarak davranan, yalnızca BGP veya statik yönlendirme için BGP veya statik yönlendirmeye sahip olan etkin-etkin güvenlik duvarı yapılandırmasını desteklediği kenarlığın (Senaryo 1) üzerinde olması desteklenir.In these scenarios, it's supported for the firewall to be above the border (Scenario 1) where it supports both active-active and active-passive firewall configurations or acting as the border device (Scenario 2) where it only supports active-active firewall configuration relying on equal-cost multi-path (ECMP) with either BGP or static routing for failover.

Ortak yönlendirilebilir IP adresleri, dış ağdan dağıtım zamanında genel VIP havuzu için belirtilir.Public routable IP addresses are specified for the public VIP pool from the external network at deployment time. Bir Edge senaryosunda, güvenlik amacıyla diğer bir ağ üzerinde genel yönlendirilebilir IP 'Lerin kullanılması önerilmez.In an edge scenario, it's not recommended to use public routable IPs on any other network for security purposes. Bu senaryo, bir kullanıcının Azure gibi genel bir bulutta olduğu gibi tam kendi kendine denetlenen bulut deneyimini deneyimini sağlar.This scenario enables a user to experience the full self-controlled cloud experience as in a public cloud like Azure.

Azure Stack hub Edge güvenlik duvarı örneği

Kurumsal intranet veya çevre ağı güvenlik duvarı senaryosuEnterprise intranet or perimeter network firewall scenario

Kurumsal intranet veya çevre dağıtımında Azure Stack hub, çok bölgeli bir güvenlik duvarında veya uç güvenlik duvarı ile dahili, şirket ağı güvenlik duvarı arasında dağıtılır.In an enterprise intranet or perimeter deployment, Azure Stack Hub is deployed on a multi-zoned firewall or in between the edge firewall and the internal, corporate network firewall. Bundan sonra trafiği güvenli, çevre ağı (veya DMZ) ve güvenli olmayan bölgeler arasında aşağıda açıklandığı gibi dağıtılır:Its traffic is then distributed between the secure, perimeter network (or DMZ), and unsecure zones as described below:

  • Güvenli bölge: Bu, iç veya şirket tarafından yönlendirilebilir IP adreslerini kullanan iç bir ağ.Secure zone: This is the internal network that uses internal or corporate routable IP addresses. Güvenli ağ ayrılabilir, güvenlik duvarında NAT üzerinden İnternet giden erişimine sahip olur ve genellikle iç ağ aracılığıyla veri merkezinizin içinden herhangi bir yerden erişilebilir.The secure network can be divided, have internet outbound access through NAT on the Firewall, and is usually accessible from anywhere inside your datacenter via the internal network. Tüm Azure Stack hub ağları, dış ağın genel VIP havuzu haricinde güvenli bölgede bulunmalıdır.All Azure Stack Hub networks should reside in the secure zone except for the external network's public VIP pool.
  • Çevre bölgesi.Perimeter zone. Çevre ağı, Web sunucuları gibi dış veya internet 'e yönelik uygulamaların genellikle dağıtıldığı yerdir.The perimeter network is where external or internet-facing apps like Web servers are typically deployed. Genellikle, internet 'ten gelen trafiğe izin verirken DDoS ve yetkisiz erişim (korsan) gibi saldırıları önlemek için bir güvenlik duvarı tarafından izlenir.It's usually monitored by a firewall to avoid attacks like DDoS and intrusion (hacking) while still allowing specified inbound traffic from the internet. Yalnızca Azure Stack hub 'ının dış ağ genel VIP havuzu DMZ bölgesinde bulunmalıdır.Only the external network public VIP pool of Azure Stack Hub should reside in the DMZ zone.
  • Güvenli olmayan bölge.Unsecure zone. Bu, internet 'in dış ağı.This is the external network, the internet. Azure Stack hub 'ının güvenli olmayan bölgede dağıtılması önerilmez.It is not recommended to deploy Azure Stack Hub in the unsecure zone.

Azure Stack hub çevre ağı örneği

Daha fazla bilgi edininLearn more

Azure Stack hub uç noktaları tarafından kullanılan bağlantı noktaları ve protokollerhakkında daha fazla bilgi edinin.Learn more about ports and protocols used by Azure Stack Hub endpoints.

Sonraki adımlarNext steps

Azure Stack hub PKI gereksinimleriAzure Stack Hub PKI requirements