在您的資料中心發佈 Azure Stack Hub 服務 - 模組化資料中心 (MDC)

Azure Stack Hub 會為其基礎結構角色設定虛擬 IP 位址 (VIP)。 這些 VIP 是從公用 IP 位址集區配置的。 針對每個 VIP,都會藉由軟體定義網路層中的存取控制清單 (ACL) 來提供保護。 ACL 也用於各個實體交換器 (TOR 和 BMC) 來進一步強化解決方案。 系統會針對在部署時所指定的外部 DNS 區域中的每個端點,分別建立一個 DNS 項目。 例如,系統會將 portal.<region>.<fqdn> 的 DNS 主機項目指派給使用者入口網站。

以下架構圖顯示各種不同的網路層和 ACL:

Diagram showing different network layers and ACLs

連接埠和 URL

若要讓外部網路使用 Azure Stack Hub 服務 (例如入口網站、Azure Resource Manager、DNS 等),您必須針對特定 URL、連接埠和通訊協定允許對這些端點的輸入流量。

在透明 Proxy 上行連結至傳統 Proxy 伺服器或防火牆的部署中,若要保護解決方案,您必須允許輸入輸出的特定埠和 URL交流。 其中包括用於身分識別、Marketplace、修補和更新、註冊和使用狀況資料的連接埠和 URL。

不支援 SSL 流量攔截,而且可能會在存取端點時導致服務失敗。

連接埠和通訊協定 (輸入)

將 Azure Stack Hub 端點發佈至外部網路時,需有一組基礎結構 VIP。 「端點 (VIP)」 資料表會顯示每個端點、所需的連接埠以及通訊協定。 請參閱特定資源提供者部署文件,了解需要其他資源提供者 (例如 SQL 資源提供者等) 的端點。

此處並未列出內部基礎結構 VIP,因為在發佈 Azure Stack Hub 時不需要這些 VIP。 使用者 VIP 是動態的,且由使用者本身定義,不受 Azure Stack Hub 操作員控制。

注意

IKEv2 VPN 是標準型 IPsec VPN 解決方案,會使用 UDP 連接埠 500 和 4500 以及 TCP 連接埠 50。 防火牆不一定會開啟這些連接埠,因此 IKEv2 VPN 有可能無法周遊 Proxy 和防火牆。

在加入延伸主機後,即不需要12495-30015 範圍內的連接埠。

端點 (VIP) DNS 主機 A 記錄 通訊協定 連接埠
AD FS Adfs.<region>.<fqdn> HTTPS 443
入口網站 (系統管理員) Adminportal.<region>.<fqdn> HTTPS 443
Adminhosting *.adminhosting.<region>.<fqdn> HTTPS 443
Azure Resource Manager (系統管理員) Adminmanagement.<region>.<fqdn> HTTPS 443
入口網站 (使用者) Portal.<region>.<fqdn> HTTPS 443
Azure Resource Manager (使用者) Management.<region>.<fqdn> HTTPS 443
圖形 Graph.<region>.<fqdn> HTTPS 443
憑證撤銷清單 Crl.<region>.<fqdn> HTTP 80
DNS *.<region>.<fqdn> TCP & UDP 53
裝載 *.hosting.<region>.<fqdn> HTTPS 443
Key Vault (使用者) *.vault.<region>.<fqdn> HTTPS 443
Key Vault (系統管理員) *.adminvault.<region>.<fqdn> HTTPS 443
儲存體佇列 *.queue.<region>.<fqdn> HTTP
HTTPS
80
443
儲存體資料表 *.table.<region>.<fqdn> HTTP
HTTPS
80
443
儲存體 Blob *.blob.<region>.<fqdn> HTTP
HTTPS
80
443
SQL 資源提供者 sqladapter.dbadapter.<region>.<fqdn> HTTPS 44300-44304
MySQL 資源提供者 mysqladapter.dbadapter.<region>.<fqdn> HTTPS 44300-44304
App Service 方案 *.appservice.<region>.<fqdn> TCP 80 (HTTP)
443 (HTTPS)
8172 (MSDeploy)
*.scm.appservice.<region>.<fqdn> TCP 443 (HTTPS)
api.appservice.<region>.<fqdn> TCP 443 (HTTPS)
44300 (Azure Resource Manager)
ftp.appservice.<region>.<fqdn> TCP、UDP 21, 1021, 10001-10100 (FTP)
990 (FTPS)
VPN 閘道 請參閱 VPN 閘道常見問題集

連接埠和 URL (輸出)

Azure Stack Hub 僅支援 Transparent Proxy 伺服器。 在 Transparent Proxy 上行連結至傳統 Proxy 伺服器的部署中,您必須允許下表中的連接埠和 URL 才能進行連出通訊。 如需設定透明 Proxy 伺服器的詳細資訊,請參閱 [Azure Stack Hub 的透明 Proxy]((../../operator/azure-stack-transparent-proxy.md)。

不支援 SSL 流量攔截,而且可能會在存取端點時導致服務失敗。 針對身分識別所需的端點通訊,支援的逾時上限為 60 秒。

注意

Azure Stack Hub 不支援使用 ExpressRoute 連線到下表列出的 Azure 服務,因為 ExpressRoute 可能無法將流量路由傳送至所有端點。

目的 目的地 URL 通訊協定/連接埠 來源網路 需求
身分識別
允許 Azure Stack Hub 連線到 Azure Active Directory 進行使用者 & 服務驗證。
Azure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure Government
https://login.microsoftonline.us/
https://graph.windows.net/
Azure Germany
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP 80,
HTTPS 443
公用 VIP - /27
公用基礎結構網路
在已連線部署為強制要求。
Marketplace 摘要整合
允許您從 Marketplace 將項目下載至 Azure Stack Hub,供所有使用 Azure Stack Hub 環境的使用者使用。
Azure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure Government
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
HTTPS 443 公用 VIP - /27 不需要。 使用已中斷連線的案例指示將影像上傳至 Azure Stack Hub。
修補程式 & 更新
當連線到更新端點時,Azure Stack Hub 的軟體更新和 Hotfix 會顯示為可供下載。
https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 公用 VIP - /27 不需要。 使用已中斷連線的部署連線指示手動下載並準備更新。
註冊
允許您向 Azure 註冊 Azure Stack Hub,以下載 Azure Marketplace 項目,並設定向 Microsoft 回報的商務資料。
Azure
https://management.azure.com
Azure Government
https://management.usgovcloudapi.net/
HTTPS 443 公用 VIP - /27 不需要。 您可以使用已中斷連線的案例進行離線註冊
使用量
允許 Azure Stack Hub 操作員設定其 Azure Stack Hub 執行個體,以向 Azure 回報使用量資料。
Azure
https://*.trafficmanager.net
Azure Government
https://*.usgovtrafficmanager.net
HTTPS 443 公用 VIP - /27 需要 Azure Stack Hub 耗用量型授權模型。
Windows Defender
允許更新資源提供者每天多次下載反惡意程式碼軟體定義和引擎更新。
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.com
HTTPS 80,443 公用 VIP - /27
公用基礎結構網路
不需要。 您可以使用已中斷連線的案例來更新防毒軟體簽章檔案
NTP
允許 Azure Stack Hub 連線到時間伺服器。
(可供部署的 NTP 伺服器 IP) UDP 123 公用 VIP - /27 必要
DNS
允許 Azure Stack Hub 連線到 DNS 伺服器轉寄站。
(可供部署的 DNS 伺服器 IP) TCP & UDP 53 公用 VIP - /27 必要
SYSLOG
允許 Azure Stack Hub 傳送 syslog 訊息以供監視或安全性之用。
(可供部署的 SYSLOG 伺服器 IP) TCP 6514,
UDP 514
公用 VIP - /27 選擇性
CRL
允許 Azure Stack Hub 驗證憑證,並檢查是否已撤銷憑證。
(您的憑證上 CRL 發佈點之下的 URL)
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTP 80 公用 VIP - /27 不需要。 強烈建議的安全性最佳做法。
LDAP
允許 Azure Stack Hub 與 Microsoft Active Directory 內部部署通訊。
針對 Graph 整合提供的 Active Directory 樹系 TCP & UDP 389 公用 VIP - /27 使用 AD FS 部署 Azure Stack Hub 時,則為必要項。
LDAP SSL
允許 Azure Stack Hub 與 Microsoft Active Directory 內部部署加密通訊。
針對 Graph 整合提供的 Active Directory 樹系 TCP 636 公用 VIP - /27 使用 AD FS 部署 Azure Stack Hub 時,則為必要項。
LDAP GC
允許 Azure Stack Hub 與 Microsoft Active Directory 通用類別目錄伺服器通訊。
針對 Graph 整合提供的 Active Directory 樹系 TCP 3268 公用 VIP - /27 使用 AD FS 部署 Azure Stack Hub 時,則為必要項。
LDAP GC SSL
允許 Azure Stack Hub 與 Microsoft Active Directory 通用類別目錄伺服器加密通訊。
針對 Graph 整合提供的 Active Directory 樹系 TCP 3269 公用 VIP - /27 使用 AD FS 部署 Azure Stack Hub 時,則為必要項。
AD FS
允許 Azure Stack Hub 與內部部署 AD FS 通訊。
針對 AD FS 整合提供的 AD FS 中繼資料端點 TCP 443 公用 VIP - /27 選擇性。 您可以使用中繼資料檔建立 AD FS 宣告提供者信任。
診斷記錄集合
允許 Azure Stack Hub 操作員主動或手動將記錄傳送給 Microsoft 支援服務。
https://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPS 443 公用 VIP - /27 不需要。 您可以將記錄儲存在本機

輸出 URL 會使用 Azure 流量管理員進行負載平衡,以根據地理位置提供可能的最佳連線能力。 利用負載平衡的 URL,Microsoft 可以更新和變更後端端點,而不會對客戶造成影響。 Microsoft 不會共用已負載平衡 URL 的 IP 位址清單。 請使用可支援依照 URL (而非依照 IP) 篩選的裝置。

輸出 DNS 一律為必要項目,不同之處在於查詢外部 DNS 的來源,和選擇了何種身分識別整合。 在連線案例的部署期間,位於 BMC 網路上的 DVM 需要輸出存取權。 但在部署之後,DNS 服務會移至內部元件,以透過公用 VIP 傳送查詢。 屆時,便可移除透過 BMC 網路來進行輸出 DNS 存取的能力,但仍需留下該 DNS 伺服器的公用 VIP 存取能力,否則驗證會失敗。

後續步驟

Azure Stack Hub PKI 需求