你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 直接路由基础结构要求

本文介绍了基础结构、许可和会话边界控制器 (SBC) 连接详细信息,在计划 Azure 直接路由部署时需要牢记这些详细信息。

基础结构要求

对于部署 Azure 直接路由,针对支持的 SBC、域的基础结构要求以及其他网络连接性要求如下表所示:

基础结构要求 需要满足以下条件
会话边界控制器 (SBC) 受支持的 SBC。 有关详细信息,请参阅受支持的 SBC
连接到 SBC 的电话服务中继 连接到 SBC 的一个或多个电话服务中继。 SBC 一端通过直接路由连接 Azure 通信服务。 SBC 还可以连接到第三方电话实体,如 PBX、模拟电话适配器。 任何连接到 SBC 的公共交换电话网络 (PSTN) 连接选项都有效。 (对于 SBC 的 PSTN 中继配置,请咨询 SBC 供应商或中继提供商。)
Azure 订阅 用于 创建通信服务资源的 Azure 订阅,以及与 SBC 的配置和连接。
通信服务访问令牌 若要进行调用,需要具有 voip 作用域的有效访问令牌。 请参阅访问令牌
用于 SBC 的公共 IP 地址 可用于连接到 SBC 的公共 IP 地址。 基于 SBC 的类型,SBC 可以使用 NAT。
用于 SBC 的完全限定的域名 (FQDN) 有关详细信息,请参阅 SBC 证书和域名
SBC 的公共 DNS 条目 将 SBC FQDN 映射到公共 IP 地址的公共 DNS 条目。
用于 SBC 的受信任公共证书 用于 SBC 的证书,旨在用于与 Azure 直接路由进行所有通信。 有关详细信息,请参阅 SBC 证书和域名
用于 SIP 信号和媒体的防火墙 IP 地址和端口 SBC 与云中的以下服务进行通信:

SIP 代理,用于处理信号
媒体处理器,用于处理媒体

这两个服务在 Microsoft 云中有单独的 IP 地址,本文档稍后将对此进行介绍。

SBC 证书和域名

Microsoft 建议通过证书签名请求 (CSR) 来请求 SBC 的证书。 有关如何为 SBC 生成 CSR 的具体说明,请参阅由 SBC 供应商提供的互连说明或文档。

注意

大多数证书颁发机构 (CA) 要求私钥大小至少为 2048。 生成 CSR 时请记住这一点。

证书必须将 SBC FQDN 作为公用名 (CN) 或使用者可选名称 (SAN) 字段。 应直接从证书颁发机构(而不是从中间提供程序)颁发证书。

此外,通信服务直接路由支持 CN 和/或 SAN 中的通配符,并且通配符必须符合标准的 RFC HTTP Over TLS

已使用 Office 365 并在 Microsoft 365 管理中心注册了域的客户可以使用来自同一域的 SBC FQDN。

一个示例是使用 *.contoso.com,它与 SBC FQDN sbc.contoso.com 匹配,但与 sbc.test.contoso.com 不匹配。

注意

Azure 通信服务直接路由中的 SBC FQDN 必须不同于 Teams 直接路由中的 SBC FQDN。

通信服务仅信任由属于 Microsoft 受信任的根证书计划的证书颁发机构 (CA) 签名的证书。 确保你的 SBC 证书由作为程序一部分的 CA 签名,并且证书的扩展密钥使用 (EKU) 扩展包括服务器身份验证。 了解详细信息:

计划要求 - Microsoft 受信任根证书计划

包含的 CA 证书列表

重要

Azure 通信服务直接路由仅支持 TLS 1.2(或更高版本)。 若要避免任何服务影响,请确保 SBC 配置为支持 TLS1.2,并且可以使用以下密码套件之一进行 SIP 信号连接:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 即 ECDHE-RSA-AES256-GCM-SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 即 ECDHE-RSA-AES128-GCM-SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 即 ECDHE-RSA-AES256-SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 即 ECDHE-RSA-AES128-SHA256

仅支持 SRTP 媒体AES_CM_128_HMAC_SHA1_80。

SBC 配对适用于通信服务资源级别。 这意味着可以将多个 SBC 与单个通信服务资源配对。 不过,不能将单个 SBC 与多个通信服务资源配对。 与不同资源进行配对需要具有唯一的 SBC FQDN。

如果在 SBC 上为直接路由连接启用了相互 TLS(MTLS)支持,则必须在直接路由 TLS 上下文的 SBC 受信任根存储中安装 Baltimore CyberTrust Root 和 DigiCert 全局根 G2 证书。 (这是因为 Microsoft 服务证书使用这两个根证书之一。若要下载这些根证书,请参阅办公室 365 加密链。 有关详细信息,请参阅办公室 TLS 证书更改

SIP 信号:FQDN

通信服务直接路由的连接点为以下三个 FQDN:

  • 必须首先尝试 sip.pstnhub.microsoft.com,这是全局 FQDN。 当 SBC 发送请求解析此名称时,Microsoft Azure DNS 服务器将返回一个 IP 地址,该 IP 地址指向分配给 SBC 的主要 Azure 数据中心。 该分配基于数据中心的性能指标以及与 SBC 的地理邻近度。 返回的 IP 地址对应于主要 FQDN。
  • sip2.pstnhub.microsoft.com(次要 FQDN)映射到第二优先区域(按地理位置)。
  • sip3.pstnhub.microsoft.com(第三位 FQDN)映射到第三优先区域(按地理位置)。

为了实现以下目标,这三个 FQDN 都是必需的:

  • 提供最佳体验(通过查询第一个 FQDN 来减少负载并且最接近分配的 SBC 数据中心)。
  • 当从 SBC 建立到遇到临时问题的数据中心的连接时,提供故障转移。 有关详细信息,请参阅故障转移机制

FQDN(sip.pstnhub.microsoft.com、sip2.pstnhub.microsoft.com 和 sip3.pstnhub.microsoft.com)将解析为以下 IP 地址之一:

  • 52.112.0.0/14 (IP addresses from 52.112.0.0 to 52.115.255.255)
  • 52.120.0.0/14 (IP addresses from 52.120.0.0 to 52.123.255.255)

为所有这些 IP 地址范围打开防火墙端口,以允许流量传入和传出用于发送信号的地址。

SIP 信号:端口

将以下端口用于通信服务 Azure 直接路由:

交通 功能 源端口 目标端口
SIP/TLS SIP 代理 SBC 1024–65535 在 SBC 上定义
SIP/TLS SBC SIP 代理 在 SBC 上定义 5061

用于 SIP 信号的故障转移机制

SBC 发出 DNS 查询来解析 sip.pstnhub.microsoft.com。 系统将根据 SBC 位置和数据中心性能指标选择主数据中心。 如果主数据中心遇到问题,SBC 将尝试 sip2.pstnhub.microsoft.com,它将解析为分配的第二个数据中心,在两个区域的数据中心均不可用的罕见情况下,SBC 将重试最后一个 FQDN (sip3.pstnhub.microsoft.com),该 FQDN 提供第三个数据中心 IP。

媒体流量:IP 和端口范围

媒体流量进出于称为“媒体处理器”的单独服务。 媒体流量的 IP 地址范围与信令相同:

  • 52.112.0.0/14 (IP addresses from 52.112.0.0 to 52.115.255.255)
  • 52.120.0.0/14 (IP addresses from 52.120.0.0 to 52.123.255.255)

端口范围

下表显示了媒体处理器的端口范围:

交通 功能 源端口 目标端口
UDP/SRTP 媒体处理器 SBC 49152–53247 在 SBC 上定义
UDP/SRTP SBC 媒体处理器 在 SBC 上定义 49152–53247

注意

Microsoft 建议 SBC 上的每次并发调用至少有两个端口。

媒体流量:媒体处理器地域

媒体处理器与 SIP 代理位于相同的数据中心:

  • NOAM(美国中南部,两个位于美国西部和美国东部数据中心)
  • 欧洲(欧盟西部、欧盟北部、瑞典、法国中部)
  • 亚洲(新加坡数据中心)
  • 日本(日本东部和西部数据中心)
  • 澳大利亚(澳大利亚东部和东南部数据中心)
  • 拉丁美洲(巴西南部)
  • 非洲(南非北部)

媒体流量:编解码器

SBC 和云媒体处理器之间的分支。

会话边界控制器和云媒体处理器之间的分支上的 Azure 直接路由接口可以使用以下编解码器:

  • SILK、G.711、G.722、G.729

通过从产品/服务中排除不需要的编解码器,可以强制在会话边框控制器上使用特定编解码器。

通信服务调用 SDK 应用与云媒体处理器之间的分支

在云媒体处理器与通信服务调用 SDK 应用之间的分支上,使用 G.722。 目前正在此支线上添加更多编解码器。

支持的会话边界控制器 (SBC)

后续步骤

概念文档

快速入门