Publikování služeb Azure Stack Hub ve vašem datacentru
Azure Stack Hub nastavuje virtuální IP adresy (VIP) pro své role infrastruktury. Tyto VIP adresy se přidělují z fondu veřejných IP adres. Každá VIP je zabezpečená pomocí seznamu řízení přístupu (ACL) ve vrstvě softwarově definované sítě. ACL se také používají napříč fyzickými přepínači (ToR a BMC) k dalšímu zabezpečení řešení. Pro každý koncový bod v externí zóně DNS, která je zadaná v době nasazení, se vytvoří položka DNS. Uživatelský portál má například přiřazenou položku hostitele DNS portálu.<oblast>.<fqdn>.
Následující diagram architektury znázorňuje různé síťové vrstvy a seznamy ACL:
Porty a adresy URL
Pokud chcete externím sítím zpřístupnit služby Azure Stack Hub (jako jsou portály, Azure Resource Manager, DNS atd.), musíte povolit příchozí provoz do těchto koncových bodů pro konkrétní adresy URL, porty a protokoly.
V nasazení, kde transparentní proxy přesměrovává provoz k tradičnímu proxy serveru nebo brána firewall chrání řešení, je nutné povolit specifické porty a adresy URL pro příchozí i odchozí komunikaci. Patří sem porty a adresy URL pro identitu, marketplace, opravu a aktualizaci, registraci a data o využití.
Zachycování provozu SSL se nepodporuje a může vést k selháním služeb při přístupu ke koncovým bodům.
Porty a protokoly (příchozí)
Pro publikování koncových bodů služby Azure Stack Hub do externích sítí se vyžaduje sada virtuálních IP adres infrastruktury. Tabulka Koncový bod (VIP) zobrazuje každý koncový bod, požadovaný port a protokol. Informace o koncových bodech, které vyžadují další poskytovatele prostředků, jako je poskytovatel prostředků SQL, najdete v dokumentaci ke konkrétnímu nasazení poskytovatele prostředků.
Interní infrastrukturní VIP nejsou uvedeny, protože nejsou nutné pro publikování Azure Stack Hub. Virtuální IP adresy uživatelů jsou dynamické a jsou definované samotnými uživateli bez kontroly ze strany operátora služby Azure Stack Hub.
Díky přidání Extension Host se porty v rozsahu 12495–30015 nevyžadují.
| Koncový bod (VIP) | A záznam hostitele DNS | Protokol | Porty |
|---|---|---|---|
| AD FS | Adfs.<oblast>.<fqdn> | HTTPS | 443 |
| Portál (správce) | Adminportal.<oblast>.<Fqdn> | HTTPS | 443 |
| Adminhosting | *.adminhosting.<oblast>.<Fqdn> | HTTPS | 443 |
| Azure Resource Manager (správce) | Správa administrace.<oblast>.<fqdn> | HTTPS | 443 |
| Portál (uživatel) | Portál.<oblast>.<fqdn> | HTTPS | 443 |
| Azure Resource Manager (uživatel) | Management.<oblast>.<fqdn> | HTTPS | 443 |
| Graf | Graf.<oblast>.<fqdn> | HTTPS | 443 |
| Seznam odvolaných certifikátů | Crl.<oblast>.<Fqdn> | HTTP | 80 |
| DNS | *.<oblast>.<Fqdn> | TCP &UDP | 53 |
| Hostování | *.hostování.<oblast>.<Fqdn> | HTTPS | 443 |
| Key Vault (uživatel) | *.klenba.<oblast>.<fqdn> | HTTPS | 443 |
| Key Vault (správce) | *.adminvault.<oblast>.<fqdn> | HTTPS | 443 |
| Fronta úložiště | *.fronta.<oblast>.<fqdn> | HTTP HTTPS |
80 443 |
| Tabulka úložiště | *.table.<oblast>.<fqdn> | HTTP HTTPS |
80 443 |
| Úložiště Blob | *.blob.<oblast>.<fqdn> | HTTP HTTPS |
80 443 |
| Poskytovatel prostředků SQL | sqladapter.dbadapter.<oblast>.<fqdn> | HTTPS | 44300-44304 |
| Poskytovatel prostředků MySQL | mysqladapter.dbadapter.<oblast>.<fqdn> | HTTPS | 44300-44304 |
| Služba aplikací | *.appservice.<oblast>.<fqdn> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
| *.scm.appservice.<oblast>.<fqdn> | TCP | 443 (HTTPS) | |
| api.appservice.<oblast>.<fqdn> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
| ftp.appservice.<oblast>.<Fqdn> | TCP, UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
| Brány VPN | Protokol IP 50 a UDP | Zapouzdření datové části zabezpečení (ESP) IPSec a UDP 500 a 4500 |
Porty a adresy URL (odchozí)
Azure Stack Hub podporuje pouze transparentní proxy servery. V nasazení s transparentním propojením na tradiční proxy server musíte povolit porty a adresy URL uvedené v následující tabulce pro odchozí komunikaci. Další informace o konfiguraci transparentních proxy serverů najdete v tématu Transparentní proxy server pro Azure Stack Hub.
Zachycování provozu SSL se nepodporuje a může vést k selháním služeb při přístupu ke koncovým bodům. Maximální podporovaný časový limit pro komunikaci s koncovými body vyžadovanými pro identitu je 60s.
Poznámka:
Azure Stack Hub nepodporuje použití ExpressRoute k připojení ke službám Azure uvedeným v následující tabulce, protože ExpressRoute nemusí být schopná směrovat provoz do všech koncových bodů.
| Účel | Cílová adresa URL | Protokol / porty | Zdrojová síť | Požadavek |
|---|---|---|---|---|
|
Identita Umožňuje službě Azure Stack Hub připojit se k Microsoft Entra ID pro ověřování uživatelů a služeb. |
Azurelogin.windows.netlogin.microsoftonline.comgraph.windows.nethttps://secure.aadcdn.microsoftonline-p.comwww.office.comManagementServiceUri = https://management.core.windows.netARMUri = https://management.azure.comhttps://*.msftauth.nethttps://*.msauth.nethttps://*.msocdn.comAzure Government https://login.microsoftonline.us/https://graph.windows.net/Azure China 21Vianet https://login.chinacloudapi.cn/https://graph.chinacloudapi.cn/Azure (Německo) https://login.microsoftonline.de/https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
Veřejná VIP – /27 Síť veřejné infrastruktury |
Povinné pro připojené nasazení. |
|
Syndikace tržiště Umožňuje stahovat položky do služby Azure Stack Hub z Marketplace a zpřístupnit je všem uživatelům pomocí prostředí služby Azure Stack Hub. |
Azurehttps://management.azure.comhttps://*.blob.core.windows.nethttps://azurestackhub.download.prss.microsoft.comAzure Government https://management.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn/http://*.blob.core.chinacloudapi.cn |
HTTPS 443 | Veřejná VIP – /27 | Nepovinné. Použijte pokyny pro odpojený scénář k nahrání obrázků do služby Azure Stack Hub. |
|
Oprava a aktualizace Po připojení ke koncovým bodům aktualizace se aktualizace softwaru a opravy hotfix pro Azure Stack Hub zobrazí jako dostupné ke stažení. |
https://azurestackhub.download.prss.microsoft.comhttps://aka.ms/azurestackautomaticupdate |
HTTPS 443 | Veřejná VIP - /27 | Nepovinné. Použijte pokyny pro nasazení v odpojeném režimu k ručnímu stažení a přípravě aktualizace. |
|
Registrace Umožňuje zaregistrovat službu Azure Stack Hub v Azure, abyste si stáhli položky z Azure Marketplace a nastavili odesílání komerčních dat zpět společnosti Microsoft. |
Azurehttps://management.azure.comAzure Government https://management.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn |
HTTPS 443 | Veřejná VIP – /27 | Nepovinné. Pro offline registraci můžete použít odpojený scénář. |
|
Využití Umožňuje operátorům služby Azure Stack Hub nakonfigurovat instanci služby Azure Stack Hub tak, aby hlásili data o využití do Azure. |
Azurehttps://*.trafficmanager.nethttps://*.cloudapp.azure.comAzure Government https://*.usgovtrafficmanager.nethttps://*.cloudapp.usgovcloudapi.netAzure China 21Vianet https://*.trafficmanager.cnhttps://*.cloudapp.chinacloudapi.cn |
HTTPS 443 | Veřejná VIP adresa – /27 | Vyžaduje se pro model licencování založený na spotřebě služby Azure Stack Hub. |
|
Windows Defender Umožňuje poskytovateli prostředků aktualizace stahovat antimalwarové definice a aktualizace modulu několikrát denně. |
*.wdcp.microsoft.com*.wdcpalt.microsoft.com*.wd.microsoft.com*.update.microsoft.com*.download.microsoft.comhttps://secure.aadcdn.microsoftonline-p.com |
HTTPS 80, 443 | Veřejná VIRTUÁLNÍ IP adresa – /27 Síť veřejné infrastruktury |
Nepovinné. Odpojený scénář můžete použít k aktualizaci antivirových podpisových souborů. |
|
NTP Umožňuje službě Azure Stack Hub připojit se k časovým serverům. |
(IP adresa serveru NTP poskytovaná pro nasazení) | UDP 123 | Veřejná VIP adresa – /27 | Požaduje se |
|
DNS Umožňuje službě Azure Stack Hub připojit se k serveru DNS. |
(IP adresa serveru DNS poskytovaná pro nasazení) | TCP &UDP 53 | Veřejná VIP - /27 | Požaduje se |
|
SYSLOG Umožňuje službě Azure Stack Hub odesílat zprávy syslogu pro účely monitorování nebo zabezpečení. |
(IP adresa serveru SYSLOG poskytovaná pro nasazení) | TCP 6514, UDP 514 |
Veřejná VIP /27 | Volitelné |
|
CRL Umožňuje službě Azure Stack Hub ověřovat certifikáty a kontrolovat odvolané certifikáty. |
Adresa URL v distribučních bodech seznamu CRL na vašich certifikátech | HTTP 80 | Veřejná VIP – /27 | Požaduje se |
|
CRL Umožňuje službě Azure Stack Hub ověřovat certifikáty a kontrolovat odvolané certifikáty. |
http://crl.microsoft.com/pki/crl/productshttp://mscrl.microsoft.com/pki/mscorphttp://www.microsoft.com/pki/certshttp://www.microsoft.com/pki/mscorphttp://www.microsoft.com/pkiops/crlhttp://www.microsoft.com/pkiops/certs |
HTTP 80 | Veřejná VIP - /27 | Nepovinné. Osvědčený postup zabezpečení důrazně doporučujeme. |
|
LDAP Umožňuje službě Azure Stack Hub komunikovat s místní službou Microsoft Active Directory. |
Doménová struktura služby Active Directory poskytovaná pro integraci Graphu | TCP & UDP 389 | Veřejná VIP - /27 | Vyžaduje se při nasazení služby Azure Stack Hub pomocí služby AD FS. |
|
LDAP SSL Umožňuje službě Azure Stack Hub komunikovat šifrovaně s místní službou Microsoft Active Directory. |
Doménová struktura služby Active Directory poskytovaná pro integraci Graphu | TCP 636 | Veřejná VIP – /27 | Vyžaduje se při nasazení služby Azure Stack Hub pomocí služby AD FS. |
|
LDAP GC Umožňuje službě Azure Stack Hub komunikovat se servery Microsoft Active Global Catalog. |
Adresářová struktura služby Active Directory poskytovaná pro integraci s Graph API | TCP 3268 | Veřejné VIP – /27 | Vyžaduje se při nasazení služby Azure Stack Hub pomocí služby AD FS. |
|
LDAP GC SSL Umožňuje službě Azure Stack Hub komunikovat šifrovaně se servery globálního katalogu Microsoft Active Directory. |
Doménová struktura služby Active Directory poskytovaná pro integraci se službou Graph | TCP 3269 | Veřejná virtuální IP adresa – /27 | Vyžaduje se při nasazení služby Azure Stack Hub pomocí služby AD FS. |
|
AD FS Umožňuje službě Azure Stack Hub komunikovat s místní službou AD FS. |
Koncový bod metadat služby AD FS zadaný pro integraci služby AD FS | TCP 443 | Veřejná VIRTUÁLNÍ IP adresa – /27 | Nepovinné. Vztah důvěryhodnosti poskytovatele deklarací služby AD FS lze vytvořit pomocí souboru metadat. |
|
Shromažďování diagnostických protokolů Umožňuje službě Azure Stack Hub odesílat protokoly buď proaktivně, nebo ručně operátorem do podpory Microsoftu. |
https://*.blob.core.windows.nethttps://azsdiagprdlocalwestus02.blob.core.windows.nethttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.comhttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | Veřejná VIP – /27 | Nepovinné. Protokoly můžete ukládat místně. |
|
Vzdálená podpora Umožňuje odborníkům na podporu Microsoftu rychleji řešit případ podpory tím, že povolí vzdálený přístup k zařízení k provádění omezených operací řešení potíží a oprav. |
https://edgesupprd.trafficmanager.nethttps://edgesupprdwestusfrontend.westus2.cloudapp.azure.comhttps://edgesupprdwesteufrontend.westeurope.cloudapp.azure.comhttps://edgesupprdeastusfrontend.eastus.cloudapp.azure.comhttps://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.comhttps://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com*.servicebus.windows.net |
HTTPS 443 | Veřejná virtuální IP adresa – /27 | Nepovinné. |
|
Telemetrie Umožňuje službě Azure Stack Hub odesílat telemetrická data do Microsoftu. |
https://settings-win.data.microsoft.comhttps://login.live.com*.events.data.microsoft.comOd verze 2108 se vyžadují také následující koncové body: https://*.blob.core.windows.net/https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/ |
HTTPS 443 | Veřejná VIP - /27 | Vyžaduje se, když je povolená telemetrie služby Azure Stack Hub. |
Odchozí adresy URL jsou pomocí Azure Traffic Manageru vyrovnávány, aby poskytovaly nejlepší možné připojení na základě geografické polohy. S adresami URL s vyvážením zátěže může Microsoft aktualizovat a měnit koncové body backendu, aniž by to mělo vliv na zákazníky. Microsoft nesdílí seznam IP adres pro adresy URL s vyrovnáváním zatížení. Použijte zařízení, které podporuje filtrování podle adresy URL, nikoli podle IP adresy.
Odchozí DNS se vyžaduje vždy; liší se ve zdrojovém dotazu externího DNS a zvoleném typu integrace identity. Během nasazení v připojeném scénáři potřebuje DVM, který se nachází na síti BMC, přístup k odchozímu spojení. Po nasazení se ale služba DNS přesune do interní komponenty, která bude odesílat dotazy prostřednictvím veřejné VIP. V té době je možné odebrat odchozí přístup DNS přes síť BMC, ale veřejný přístup VIP k danému serveru DNS musí zůstat, jinak ověření selže.