Azure Stack Hub sağlamlaştırılmış ağ tümleştirmesi
Bu konu, Azure Stack ağ tümleştirmeyi kapsar.
Kenarlık bağlantısı (yukarı bağlantı)
Ağ tümleştirme planlaması başarılı Azure Stack tümleşik sistemleri dağıtımı, işlemi ve yönetimi için önemli bir önkoşuldur. Sınır bağlantısı planlaması, sınır ağ geçidi protokolü (BGP) ile dinamik yönlendirme kullanmak isteyip istemediğinizi seçerek başlar. Bu, 16 bit BGP otonom sistem numarası (genel veya özel) atamayı veya sınır cihazlarına statik bir varsayılan yol atandığı statik yönlendirmeyi kullanmayı gerektirir.
Raf üstü (TOR) anahtarları, fiziksel arabirimlerde Noktadan Noktaya IP'ler (/30 ağlar) yapılandırılmış Katman 3 yukarı bağlantılarını gerektirir. Azure Stack işlemlerini destekleyen TOR anahtarlarıyla katman 2 yukarı bağlantıları desteklenmez.
BGP yönlendirme
BGP gibi bir dinamik yönlendirme protokolü kullanmak, sisteminizin her zaman ağ değişikliklerinden haberdar olduğunu ve yönetimi kolaylaştırdığını garanti eder. Gelişmiş güvenlik için, TOR ile Kenarlık arasındaki BGP eşlemesinde bir parola ayarlanabilir.
Aşağıdaki diyagramda gösterildiği gibi, TOR anahtarındaki özel IP alanının reklamları bir ön ek listesi kullanılarak engellenir. Ön ek listesi, Özel Ağın tanıtımını reddeder ve TOR ile kenarlık arasındaki bağlantıya yol haritası olarak uygulanır.
Azure Stack çözümünde çalışan Yazılım Load Balancer (SLB), VIP adreslerini dinamik olarak tanıtabilmesi için TOR cihazlarıyla eşler.
Kullanıcı trafiğinin hatadan hemen ve şeffaf bir şekilde kurtarıldığından emin olmak için, TOR cihazları arasında yapılandırılan VPC veya MLAG, ana bilgisayarlara çok kasalı bağlantı toplama ve IP ağları için ağ yedekliliği sağlayan HSRP veya VRRP kullanımına olanak tanır.
Statik yönlendirme
Statik yönlendirme, sınır cihazları için ek yapılandırma gerektirir. Herhangi bir değişiklik olmadan önce daha fazla el ile müdahale ve yönetimin yanı sıra kapsamlı analiz gerektirir. Yapılandırma hatasının neden olduğu sorunların geri alınması, yapılan değişikliklere bağlı olarak daha uzun sürebilir. Bu yönlendirme yöntemi önerilmez, ancak desteklenir.
Azure Stack'i statik yönlendirme kullanarak ağ ortamınızla tümleştirmek için sınır ile TOR cihazı arasındaki dört fiziksel bağlantının da bağlı olması gerekir. Statik yönlendirmenin çalışma şekli nedeniyle yüksek kullanılabilirlik garanti edilemiyor.
Sınır cihazının, Azure Stack içindeki herhangi bir ağı hedefleyen trafik için TOR ile Sınır arasında ayarlanan dört P2P IP'sinin her birine işaret eden statik yollarla yapılandırılması gerekir, ancak işlem için yalnızca Dış veya Genel VIP ağı gerekir. İlk dağıtım için BMC ve Dış ağlara statik yollar gerekir. İşleçler , BMC ve Altyapı ağında bulunan yönetim kaynaklarına erişmek için sınırda statik yollar bırakmayı seçebilir. Altyapı ve anahtaryönetimi ağlarına statik yollar eklemek isteğe bağlıdır.
TOR cihazları, tüm trafiği sınır cihazlarına gönderen statik bir varsayılan yol ile yapılandırılır. Varsayılan kuralın tek trafik özel durumu, TOR'da kenarlık bağlantısına uygulanan bir Access Control Listesi kullanılarak engellenen özel alan içindir.
Statik yönlendirme yalnızca TOR ile kenarlık anahtarları arasındaki yukarı bağlantılara uygulanır. BGP dinamik yönlendirme, SLB ve diğer bileşenler için temel bir araçtır ve devre dışı bırakılamaz veya kaldırılamaz.
* BMC ağı dağıtımdan sonra isteğe bağlıdır.
** Anahtar Altyapısı ağı isteğe bağlıdır, tüm ağ Anahtar Yönetimi ağına dahil edilebilir.
Anahtar Yönetimi ağı gereklidir ve Anahtar Altyapısı ağından ayrı olarak eklenebilir.
Saydam ara sunucu
Veri merkeziniz tüm trafiğin ara sunucu kullanmasını gerektiriyorsa, ağınızdaki bölgeler arasındaki trafiği ayırarak ilkeye göre işlemek üzere raftan gelen tüm trafiği işlemek için saydam bir ara sunucu yapılandırmanız gerekir.
Azure Stack çözümü normal web proxy'lerini desteklemiyor
Saydam ara sunucu (kesme, satır içi veya zorlamalı ara sunucu olarak da bilinir), özel bir istemci yapılandırması gerektirmeden ağ katmanında normal iletişimi durdurur. İstemcilerin proxy'nin varlığından haberdar olması gerekmez.
SSL trafiğinin kesilmesi desteklenmez ve uç noktalara erişirken hizmet hatalarına yol açabilir. Kimlik için gereken uç noktalarla iletişim kurmak için desteklenen en fazla zaman aşımı, 3 yeniden deneme denemesi ile 60'tır.
DNS
Bu bölüm Etki Alanı Adı Sistemi (DNS) yapılandırmasını kapsar.
Koşullu DNS iletmeyi yapılandırma
Bu yalnızca AD FS dağıtımı için geçerlidir.
Mevcut DNS altyapınızla ad çözümlemeyi etkinleştirmek için koşullu iletmeyi yapılandırın.
Koşullu iletici eklemek için ayrıcalıklı uç noktayı kullanmanız gerekir.
Bu yordam için veri merkezi ağınızda Azure Stack'teki ayrıcalıklı uç noktayla iletişim kurabilen bir bilgisayar kullanın.
Yükseltilmiş bir Windows PowerShell oturumu açın (yönetici olarak çalıştırın) ve ayrıcalıklı uç noktanın IP adresine bağlanın. CloudAdmin kimlik doğrulaması için kimlik bilgilerini kullanın.
\$cred=Get-Credential Enter-PSSession -ComputerName \<IP Address of ERCS\> -ConfigurationName PrivilegedEndpoint -Credential \$credAyrıcalıklı uç noktaya bağlandıktan sonra aşağıdaki PowerShell komutunu çalıştırın. Sağlanan örnek değerleri, kullanmak istediğiniz DNS sunucularının etki alanı adınız ve IP adresleriyle değiştirin.
Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2"
Azure Stack DNS adlarını Azure Stack dışından çözümleme
Yetkili sunucular, dış DNS bölgesi bilgilerini ve kullanıcı tarafından oluşturulan bölgeleri tutan sunuculardır. Azure Stack dışındaki Azure Stack DNS adlarını çözümlemek üzere bölge temsilcisi seçmeyi veya koşullu iletmeyi etkinleştirmek için bu sunucularla tümleştirin.
DNS Sunucusu dış uç noktası bilgilerini alma
Azure Stack dağıtımınızı DNS altyapınızla tümleştirmek için aşağıdaki bilgilere ihtiyacınız vardır:
DNS sunucusu FQDN'leri
DNS sunucusu IP adresleri
Azure Stack DNS sunucuları için FQDN'ler aşağıdaki biçime sahiptir:
<NAMINGPREFIX-ns01>.<BÖLGE.><EXTERNALDOMAINNAME>
<NAMINGPREFIX-ns02>.<BÖLGE.><EXTERNALDOMAINNAME>
Örnek değerleri kullanarak DNS sunucularının FQDN'leri şunlardır:
azs-ns01.east.cloud.fabrikam.com
azs-ns02.east.cloud.fabrikam.com
Bu bilgiler yönetici portalında bulunabilir ancak tüm Azure Stack dağıtımlarının sonunda AzureStackStampInformation.json adlı bir dosyada oluşturulur. Bu dosya, Dağıtım sanal makinesinin C:\CloudDeployment\logs klasöründe bulunur. Azure Stack dağıtımınız için hangi değerlerin kullanıldığından emin değilseniz, değerleri buradan alabilirsiniz.
Dağıtım sanal makinesi artık kullanılamıyorsa veya erişilemiyorsa, ayrıcalıklı uç noktaya bağlanarak ve Get-AzureStackStampInformation PowerShell cmdlet'ini çalıştırarak değerleri alabilirsiniz. Daha fazla bilgi için bkz. ayrıcalıklı uç nokta.
Azure Stack'e koşullu iletme ayarlama
Azure Stack'i DNS altyapınızla tümleştirmenin en basit ve en güvenli yolu, üst bölgeyi barındıran sunucudan bölgenin koşullu iletmesini yapmaktır. Azure Stack dış DNS ad alanınızın üst bölgesini barındıran DNS sunucuları üzerinde doğrudan denetiminiz varsa bu yaklaşım önerilir.
DNS ile koşullu iletmenin nasıl yapıldığını bilmiyorsanız şu TechNet makalesine bakın: Etki Alanı Adı için Koşullu İletici Atama veya DNS çözümünüzle ilgili belgeler.
Dış Azure Stack DNS Bölgenizi kurumsal etki alanı adınızın alt etki alanı gibi görünecek şekilde belirttiğiniz senaryolarda koşullu iletme kullanılamaz. DNS temsilcisinin yapılandırılması gerekir.
Örnek:
Kurumsal DNS Etki Alanı Adı: contoso.com
Azure Stack Dış DNS Etki Alanı Adı: azurestack.contoso.com
DNS İleticisi IP'lerini düzenleme
DNS İleticisi IP'leri, Azure Stack dağıtımı sırasında ayarlanır. Ancak, İletici IP'lerinin herhangi bir nedenle güncelleştirilmesi gerekiyorsa, ayrıcalıklı uç noktaya bağlanarak ve [[-IPAddress] IPAddress[]>] <PowerShell cmdlet'lerini Get-AzSDnsForwarder ve Set-AzSDnsForwarder çalıştırarak değerleri düzenleyebilirsiniz. Daha fazla bilgi için bkz. ayrıcalıklı uç nokta.
Azure Stack'e dış DNS bölgesi için temsilci seçme
DNS adlarının Azure Stack dağıtımı dışından çözümlenebilmek için DNS temsilcisini ayarlamanız gerekir.
Her kayıt şirketi, bir etki alanının ad sunucusu kayıtlarını değiştirmek için kendi DNS yönetim araçlarına sahiptir. Kayıt şirketinin DNS yönetimi sayfasında NS kayıtlarını düzenleyin ve bölgenin NS kayıtlarını Azure Stack'teki kayıtlarla değiştirin.
Çoğu DNS kayıtçısı, temsilci seçmeyi tamamlamak için en az iki DNS sunucusu sağlamanızı gerektirir.
Güvenlik Duvarı
Azure Stack, altyapı rolleri için sanal IP adresleri (VIP) ayarlar. Bu VIP'ler genel IP adresi havuzundan ayrılır. Her VIP, yazılım tanımlı ağ katmanında bir erişim denetim listesi (ACL) ile güvenli hale getirilir. ACL'ler, çözümü daha da sağlamlaştırmak için fiziksel anahtarlar (TOR'lar ve BMC) arasında da kullanılır. Dağıtım zamanında belirtilen dış DNS bölgesindeki her uç nokta için bir DNS girişi oluşturulur. Örneğin, kullanıcı portalına portalın DNS ana bilgisayar girişi atanır. <bölge.<>fqdn>.
Aşağıdaki mimari diyagramda farklı ağ katmanları ve ACL'ler gösterilmektedir:
Bağlantı noktaları ve URL'ler
Azure Stack hizmetlerini (portallar, Azure Resource Manager, DNS vb.) dış ağlarda kullanılabilir hale getirmek için belirli URL'ler, bağlantı noktaları ve protokoller için bu uç noktalara gelen trafiğe izin vermelisiniz.
Saydam ara sunucunun geleneksel ara sunucuya veya güvenlik duvarına yukarı bağlantılarının çözümü koruduğu bir dağıtımda, hem gelen hem de giden iletişim için belirli bağlantı noktalarına ve URL'lere izin vermelisiniz. Bunlar kimlik, market, düzeltme eki ve güncelleştirme, kayıt ve kullanım verileri için bağlantı noktalarını ve URL'leri içerir.
Giden iletişim
Azure Stack yalnızca saydam ara sunucuları destekler. Geleneksel ara sunucuya saydam ara sunucu yukarı bağlantısı olan bir dağıtımda, bağlı modda dağıtım yaparken giden iletişim için aşağıdaki tabloda yer alan bağlantı noktalarına ve URL'lere izin vermelisiniz.
SSL trafiğinin kesilmesi desteklenmez ve uç noktalara erişirken hizmet hatalarına yol açabilir. Kimlik için gereken uç noktalarla iletişim kurmak için desteklenen en fazla zaman aşımı 60'tır.
Not
Aşağıdaki tabloda listelenen Azure hizmetlerine ulaşmak için ExpressRoute'un kullanılmasını desteklemez çünkü ExpressRoute trafiği tüm uç noktalara yönlendiremeyebilir.
| Amaç | Hedef URL | Protokol | Bağlantı noktaları | Kaynak Ağ |
|---|---|---|---|---|
| Kimlik | Azure login.windows.net login.microsoftonline.com graph.windows.net https://secure.aadcdn.microsoftonline-p.com www.office.com ManagementServiceUri = https://management.core.windows.net ARMUri = https://management.azure.com https://*.msftauth.net https://*.msauth.net https://*.msocdn.com Azure Devlet Kurumları https://login.microsoftonline.us/ https://graph.windows.net/ Azure China 21Vianet https://login.chinacloudapi.cn/ https://graph.chinacloudapi.cn/ Azure Almanya https://login.microsoftonline.de/ https://graph.cloudapi.de/ |
HTTP HTTPS |
80 443 |
Genel VIP - /27 Genel altyapı ağı |
| Market dağıtımı | Azure https://management.azure.com https://*.blob.core.windows.net https://*.azureedge.net Azure Devlet Kurumları https://management.usgovcloudapi.net/ https://*.blob.core.usgovcloudapi.net/ Azure China 21Vianet https://management.chinacloudapi.cn/ http://*.blob.core.chinacloudapi.cn |
HTTPS | 443 | Genel VIP - /27 |
| Düzeltme Eki & Güncelleştirmesi | https://*.azureedge.net https://aka.ms/azurestackautomaticupdate |
HTTPS | 443 | Genel VIP - /27 |
| Kayıt | Azure https://management.azure.com Azure Devlet Kurumları https://management.usgovcloudapi.net/ Azure China 21Vianet https://management.chinacloudapi.cn |
HTTPS | 443 | Genel VIP - /27 |
| Kullanım | Azure https://*.trafficmanager.net Azure Devlet Kurumları https://*.usgovtrafficmanager.net Azure China 21Vianet https://*.trafficmanager.cn |
HTTPS | 443 | Genel VIP - /27 |
| Windows Defender | *.wdcp.microsoft.com *.wdcpalt.microsoft.com *.wd.microsoft.com *.update.microsoft.com *.download.microsoft.com https://www.microsoft.com/pkiops/crl https://www.microsoft.com/pkiops/certs https://crl.microsoft.com/pki/crl/products https://www.microsoft.com/pki/certs https://secure.aadcdn.microsoftonline-p.com |
HTTPS | 80 443 |
Genel VIP - /27 Genel altyapı ağı |
| NTP | (Dağıtım için sağlanan NTP sunucusunun IP'si) | UDP | 123 | Genel VIP - /27 |
| DNS | (Dağıtım için sağlanan DNS sunucusunun IP'si) | TCP UDP |
53 | Genel VIP - /27 |
| CRL | (Sertifikanızdaki CRL Dağıtım Noktaları altındaki URL) | HTTP | 80 | Genel VIP - /27 |
| LDAP | Graph tümleştirmesi için sağlanan Active Directory Ormanı | TCP UDP |
389 | Genel VIP - /27 |
| LDAP SSL | Graph tümleştirmesi için Active Directory Ormanı sağlandı | TCP | 636 | Genel VIP - /27 |
| LDAP GC | Graph tümleştirmesi için Active Directory Ormanı sağlandı | TCP | 3268 | Genel VIP - /27 |
| LDAP GC SSL | Graph tümleştirmesi için Active Directory Ormanı sağlandı | TCP | 3269 | Genel VIP - /27 |
| AD FS | AD FS tümleştirmesi için sağlanan AD FS meta veri uç noktası | TCP | 443 | Genel VIP - /27 |
| Tanılama Günlüğü toplama hizmeti | Azure Depolama tarafından sağlanan Blob SAS URL'si | HTTPS | 443 | Genel VIP - /27 |
Gelen iletişim
Azure Stack uç noktalarını dış ağlara yayımlamak için bir altyapı VIP'leri kümesi gereklidir. Uç Nokta (VIP) tablosu her uç noktayı, gerekli bağlantı noktasını ve protokolü gösterir. SQL kaynak sağlayıcısı gibi ek kaynak sağlayıcıları gerektiren uç noktalar için belirli kaynak sağlayıcısı dağıtım belgelerine bakın.
Azure Stack'i yayımlamak için gerekli olmadığından iç altyapı VIP'leri listelenmez. Kullanıcı VIP'leri dinamik olup kullanıcılar tarafından tanımlanır ve Azure Stack işleci tarafından hiçbir denetim yoktur
Not
IKEv2 VPN, UDP bağlantı noktası 500 ve 4500 ile TCP bağlantı noktası 50 kullanan standart tabanlı bir IPsec VPN çözümüdür. Güvenlik duvarları her zaman bu bağlantı noktalarını açmaz, bu nedenle IKEv2 VPN proxy'leri ve güvenlik duvarlarını geçemeyebilir.
| Uç nokta (VIP) | DNS ana bilgisayarı A kaydı | Protokol | Bağlantı noktaları |
|---|---|---|---|
| AD FS | Adfs. <bölge.<>Fqdn> | HTTPS | 443 |
| Portal (yönetici) | Yönetici raporları. <bölge.<>Fqdn> | HTTPS | 443 |
| Yönetici barındırma | *.adminhosting.<bölge.><Fqdn> | HTTPS | 443 |
| Azure Resource Manager (yönetici) | Yönetim. <bölge.<>Fqdn> | HTTPS | 443 |
| Portal (kullanıcı) | Portal. <bölge.<>Fqdn> | HTTPS | 443 |
| Azure Resource Manager (kullanıcı) | Yönetimi. <bölge.<>Fqdn> | HTTPS | 443 |
| Graf | Grafik. <bölge.<>Fqdn> | HTTPS | 443 |
| Sertifika iptal listesi | Crl.region<.<>Fqdn> | HTTP | 80 |
| DNS | *. <bölge.<>Fqdn> | TCP & UDP | 53 |
| Barındırma | *.Barındırma.<bölge.><Fqdn> | HTTPS | 443 |
| Key Vault (kullanıcı) | *.Kasa. <bölge.<>Fqdn> | HTTPS | 443 |
| Key Vault (yönetici) | *.adminvault. <bölge.<>Fqdn> | HTTPS | 443 |
| Depolama Kuyruğu | *.Sıra. <bölge.<>Fqdn> | HTTP HTTPS |
80 443 |
| Depolama Tablosu | *.Tablo. <bölge.<>Fqdn> | HTTP HTTPS |
80 443 |
| Depolama Blobu | *.Blob. <bölge.<>Fqdn> | HTTP HTTPS |
80 443 |
| SQL Kaynak Sağlayıcısı | sqladapter.dbadapter. <bölge.<>Fqdn> | HTTPS | 44300-44304 |
| MySQL Kaynak Sağlayıcısı | mysqladapter.dbadapter. <bölge.<>Fqdn> | HTTPS | 44300-44304 |
| App Service | *.appservice. <bölge.<>Fqdn> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
| *.scm.appservice. <bölge.<>Fqdn> | TCP | 443 (HTTPS) | |
| api.appservice. <bölge.<>Fqdn> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
| ftp.appservice. <bölge.<>Fqdn> | TCP, UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
| VPN Ağ Geçitleri | Bkz. VPN ağ geçidi hakkında SSS. | ||
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin