Veröffentlichen von Azure Stack Hub-Diensten in Ihrem Rechenzentrum
Azure Stack Hub richtet für die eigenen Infrastrukturrollen virtuelle IP-Adressen (VIPs) ein. Diese VIPs stammen aus dem öffentlichen IP-Adresspool. Jede VIP wird durch eine Zugriffssteuerungsliste (Access Control List, ACL) auf der softwaredefinierten Netzwerkebene geschützt. Für zusätzlichen Schutz werden außerdem übergreifende ACLs für die physischen Switches (TORs und BMC) verwendet. Für jeden Endpunkt in der externen DNS-Zone, die zum Zeitpunkt der Bereitstellung angegeben wurde, wird ein DNS-Eintrag erstellt. Dem Benutzerportal wird z. B. der DNS-Hosteintrag „portal.<region>.<fqdn>“ zugewiesen.
Das folgende Architekturdiagramm zeigt die verschiedenen Netzwerkebenen und ACLs:
Ports und URLs
Damit Sie Azure Stack Hub-Dienste (wie Portale, Azure Resource Manager, DNS, usw.) für externe Netzwerke zur Verfügung stellen können, müssen Sie für diese Endpunkte den eingehenden Datenverkehr für bestimmte URLs, Ports und Protokolle zulassen.
In einer Bereitstellung mit einem Uplink zwischen einem transparenten Proxy und einem herkömmlichen Proxyserver bzw. wenn eine Firewall die Lösung schützt, müssen sowohl für die eingehende als auch die ausgehende Kommunikation bestimmte Ports und URLs zugelassen werden. Dazu gehören Ports und URLs für Identität, der Marketplace, Patch und Update, Registrierung und Nutzungsdaten.
Das Abfangen von SSL-Datenverkehr wird nicht unterstützt und kann beim Zugriff auf Endpunkte zu Dienstfehlern führen.
Ports und Protokolle (eingehend)
Eine Reihe von Infrastruktur-VIPs wird für die Veröffentlichung von Azure Stack Hub-Endpunkten in externen Netzwerken benötigt. Die Tabelle Endpunkt (VIP) enthält jeweils den Endpunkt, den erforderlichen Port und das Protokoll. Informationen zu Endpunkten, für die zusätzliche Ressourcenanbieter (etwa der SQL-Ressourcenanbieter) erforderlich sind, finden Sie in der Bereitstellungsdokumentation des jeweiligen Ressourcenanbieters.
Interne Infrastruktur-VIPs sind nicht aufgeführt, da sie zum Veröffentlichen von Azure Stack Hub nicht benötigt werden. Benutzer-VIPs sind dynamisch und werden von den Benutzern selbst definiert. Der Azure Stack Hub-Operator hat darauf keinen Einfluss.
Wenn der Erweiterungshost hinzugefügt wird, sind Ports im Bereich 12495 - 30015 nicht erforderlich.
Endpunkt (VIP) | A-Eintrag des DNS-Hosts | Protokoll | Ports |
---|---|---|---|
AD FS | Adfs.<region>.<fqdn> | HTTPS | 443 |
Portal (Administrator) | Adminportal.<region>.<fqdn> | HTTPS | 443 |
Administratorhosting | *.adminhosting.<region>.<fqdn> | HTTPS | 443 |
Azure Resource Manager (Administrator) | Adminmanagement.<region>.<fqdn> | HTTPS | 443 |
Portal (Benutzer) | Portal.<region>.<fqdn> | HTTPS | 443 |
Azure Resource Manager (Benutzer) | Management.<region>.<fqdn> | HTTPS | 443 |
Diagramm | Graph.<region>.<fqdn> | HTTPS | 443 |
Zertifikatsperrliste | Crl.<region>.<fqdn> | HTTP | 80 |
Domain Name System | *.<region>.<fqdn> | TCP und UDP | 53 |
Hosting | *.hosting.<region>.<fqdn> | HTTPS | 443 |
Key Vault (Benutzer) | *.vault.<region>.<fqdn> | HTTPS | 443 |
Key Vault (Administrator) | *.adminvault.<region>.<fqdn> | HTTPS | 443 |
Speicherwarteschlange | *.queue.<region>.<fqdn> | HTTP HTTPS |
80 443 |
Storage-Tabelle | *.table.<region>.<fqdn> | HTTP HTTPS |
80 443 |
Speicherblob | *.blob.<region>.<fqdn> | HTTP HTTPS |
80 443 |
SQL-Ressourcenanbieter | sqladapter.dbadapter.<region>.<fqdn> | HTTPS | 44300-44304 |
MySQL-Ressourcenanbieter | mysqladapter.dbadapter.<region>.<fqdn> | HTTPS | 44300-44304 |
App Service | *.appservice.<region>.<fqdn> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
*.scm.appservice.<region>.<fqdn> | TCP | 443 (HTTPS) | |
api.appservice.<region>.<fqdn> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
ftp.appservice.<region>.<fqdn> | TCP, UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
VPN-Gateways | IP-Protokoll 50 & UDP | Encapsulating Security Payload (ESP) IPsec & UDP 500 und 4500 |
Ports und URLs (ausgehend)
Azure Stack Hub unterstützt nur transparente Proxyserver. In einer Bereitstellung mit einem Uplink zwischen einem transparenten Proxy und einem herkömmlichen Proxyserver müssen für die ausgehende Kommunikation die Ports und URLs in der folgenden Tabelle zugelassen werden. Weitere Informationen zum Konfigurieren von transparenten Proxyservern finden Sie unter Transparenter Proxy für Azure Stack Hub.
Das Abfangen von SSL-Datenverkehr wird nicht unterstützt und kann beim Zugriff auf Endpunkte zu Dienstfehlern führen. Das maximal unterstützte Zeitlimit für die Kommunikation mit Endpunkten, die für die Identität erforderlich sind, ist 60 Sekunden.
Hinweis
Azure Stack Hub bietet keine Unterstützung für die Verwendung von ExpressRoute zur Kommunikation mit den in der folgenden Tabelle aufgeführten Azure-Diensten, weil ExpressRoute den Datenverkehr möglicherweise nicht an alle Endpunkte weiterleiten kann.
Zweck | Ziel-URL | Protokoll/Ports | Quellnetzwerk | Anforderung |
---|---|---|---|---|
Identität Ermöglicht Azure Stack Hub die Verbindung mit microsoft Entra ID für die Benutzer- und Dienstauthentifizierung. |
Azurelogin.windows.net login.microsoftonline.com graph.windows.net https://secure.aadcdn.microsoftonline-p.com www.office.com ManagementServiceUri = https://management.core.windows.net ARMUri = https://management.azure.com https://*.msftauth.net https://*.msauth.net https://*.msocdn.com Azure Government https://login.microsoftonline.us/ https://graph.windows.net/ Azure China 21Vianet https://login.chinacloudapi.cn/ https://graph.chinacloudapi.cn/ Azure Deutschland https://login.microsoftonline.de/ https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
Öffentliche VIP - /27 Öffentliches Infrastrukturnetzwerk |
Obligatorisch für eine verbundene Bereitstellung. |
Marketplace-Syndikation Ermöglicht Ihnen, Elemente aus dem Marketplace in Azure Stack Hub herunterzuladen und mithilfe der Azure Stack Hub-Umgebung für alle Benutzer verfügbar zu machen. |
Azurehttps://management.azure.com https://*.blob.core.windows.net https://*.azureedge.net Azure Government https://management.usgovcloudapi.net/ https://*.blob.core.usgovcloudapi.net/ Azure China 21Vianet https://management.chinacloudapi.cn/ http://*.blob.core.chinacloudapi.cn |
HTTPS 443 | Öffentliche VIP - /27 | Nicht erforderlich. Verwenden Sie die Anweisungen für das nicht verbundene Szenario, um Bilder in Azure Stack Hub hochzuladen. |
Patches und Updates Wenn eine Verbindung mit Updateendpunkten besteht, wird für Azure Stack Hub-Softwareupdates und -Hotfixes angezeigt, dass sie zum Download verfügbar sind. |
https://*.azureedge.net https://aka.ms/azurestackautomaticupdate |
HTTPS 443 | Öffentliche VIP - /27 | Nicht erforderlich. Befolgen Sie die Anweisungen für die nicht verbundene Bereitstellung, um das Update manuell herunterzuladen und vorzubereiten. |
Registrierung Ermöglicht Ihnen das Registrieren von Azure Stack Hub bei Azure, um Azure Marketplace-Elemente herunterladen und die Übermittlung von Geschäftsdatenberichten an Microsoft einrichten zu können. |
Azurehttps://management.azure.com Azure Government https://management.usgovcloudapi.net/ Azure China 21Vianet https://management.chinacloudapi.cn |
HTTPS 443 | Öffentliche VIP - /27 | Nicht erforderlich. Sie können das nicht verbundene Szenario für die Offlineregistrierung verwenden. |
Verwendung Erlaubt es Azure Stack Hub-Operatoren, ihre Azure Stack Hub-Instanz so zu konfigurieren, dass diese Nutzungsdaten an Azure meldet. |
Azurehttps://*.trafficmanager.net https://*.cloudapp.azure.com Azure Government https://*.usgovtrafficmanager.net https://*.cloudapp.usgovcloudapi.net Azure China 21Vianet https://*.trafficmanager.cn https://*.cloudapp.chinacloudapi.cn |
HTTPS 443 | Öffentliche VIP - /27 | Erforderlich für das nutzungsbasierte Azure Stack Hub-Lizenzierungsmodell. |
Windows Defender Ermöglicht es dem Updateressourcenanbieter, mehrmals täglich Antischadsoftwaredefinitionen und Engineupdates herunterzuladen. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com *.wd.microsoft.com *.update.microsoft.com *.download.microsoft.com https://secure.aadcdn.microsoftonline-p.com |
HTTPS 80, 443 | Öffentliche VIP - /27 Öffentliches Infrastrukturnetzwerk |
Nicht erforderlich. Sie können das nicht verbundene Szenario zum Aktualisieren von Antivirensignaturdateien verwenden. |
NTP Erlaubt es Azure Stack Hub, eine Verbindung mit Zeitservern herzustellen. |
(IP des für die Bereitstellung bereitgestellten NTP-Servers) | UDP 123 | Öffentliche VIP - /27 | Erforderlich |
DNS Erlaubt es Azure Stack Hub, eine Verbindung mit der DNS-Serverweiterleitung herzustellen. |
(IP des für die Bereitstellung bereitgestellten DNS-Servers) | TCP und UDP 53 | Öffentliche VIP - /27 | Erforderlich |
SYSLOG Erlaubt Azure Stack Hub das Senden von Syslog-Nachrichten zu Überwachungs- oder Sicherheitszwecken. |
(IP des für die Bereitstellung bereitgestellten SYSLOG-Servers) | TCP 6514, UDP 514 |
Öffentliche VIP - /27 | Optional |
CRL Erlaubt Azure Stack Hub das Überprüfen von Zertifikaten und das Überprüfen auf widerrufene Zertifikate. |
URL unter CRL-Verteilungspunkten auf Ihren Zertifikaten | HTTP 80 | Öffentliche VIP - /27 | Erforderlich |
CRL Erlaubt Azure Stack Hub das Überprüfen von Zertifikaten und das Überprüfen auf widerrufene Zertifikate. |
http://crl.microsoft.com/pki/crl/products http://mscrl.microsoft.com/pki/mscorp http://www.microsoft.com/pki/certs http://www.microsoft.com/pki/mscorp http://www.microsoft.com/pkiops/crl http://www.microsoft.com/pkiops/certs |
HTTP 80 | Öffentliche VIP - /27 | Nicht erforderlich. Dringend empfohlene bewährte Sicherheitsmethode. |
LDAP Erlaubt Azure Stack Hub die Kommunikation mit einer lokalen Microsoft Active Directory-Instanz. |
Active Directory-Gesamtstruktur, bereitgestellt für die Graph-Integration | TCP und UDP 389 | Öffentliche VIP - /27 | Erforderlich, wenn Azure Stack Hub mit AD FS bereitgestellt wird. |
LDAP SSL Erlaubt Azure Stack Hub die verschlüsselte Kommunikation mit einer lokalen Microsoft Active Directory-Instanz. |
Active Directory-Gesamtstruktur, bereitgestellt für die Graph-Integration | TCP 636 | Öffentliche VIP - /27 | Erforderlich, wenn Azure Stack Hub mit AD FS bereitgestellt wird. |
LDAP GC Erlaubt Azure Stack Hub die Kommunikation mit globalen Katalogservern von Microsoft Active Directory. |
Active Directory-Gesamtstruktur, bereitgestellt für die Graph-Integration | TCP 3268 | Öffentliche VIP - /27 | Erforderlich, wenn Azure Stack Hub mit AD FS bereitgestellt wird. |
LDAP GC SSL Erlaubt Azure Stack Hub die verschlüsselte Kommunikation mit globalen Katalogservern von Microsoft Active Directory. |
Active Directory-Gesamtstruktur, bereitgestellt für die Graph-Integration | TCP 3269 | Öffentliche VIP - /27 | Erforderlich, wenn Azure Stack Hub mit AD FS bereitgestellt wird. |
AD FS Erlaubt Azure Stack Hub die Kommunikation mit dem lokalen AD FS. |
AD FS-Metadatenendpunkt, bereitgestellt für die AD FS-Integration | TCP 443 | Öffentliche VIP - /27 | Optional. Die AD FS-Anspruchsanbieter-Vertrauensstellung kann mithilfe einer Metadatendatei erstellt werden. |
Diagnoseprotokollsammlung Erlaubt es Azure Stack Hub, Protokolle entweder proaktiv oder manuell durch einen Operator an den Microsoft-Support zu senden. |
https://*.blob.core.windows.net https://azsdiagprdlocalwestus02.blob.core.windows.net https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | Öffentliche VIP - /27 | Nicht erforderlich. Sie können Protokolle lokal speichern. |
Remoteunterstützung Ermöglicht Microsoft-Supportmitarbeitern eine schnellere Lösung von Supportfällen, indem sie remote auf das Gerät zugreifen können, um eingeschränkte Vorgänge für die Problembehandlung und Reparatur durchzuführen. |
https://edgesupprd.trafficmanager.net https://edgesupprdwestusfrontend.westus2.cloudapp.azure.com https://edgesupprdwesteufrontend.westeurope.cloudapp.azure.com https://edgesupprdeastusfrontend.eastus.cloudapp.azure.com https://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.com https://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com *.servicebus.windows.net |
HTTPS 443 | Öffentliche VIP - /27 | Nicht erforderlich. |
Telemetrie Ermöglicht Azure Stack Hub das Senden von Telemetriedaten an Microsoft. |
https://settings-win.data.microsoft.com https://login.live.com *.events.data.microsoft.com Ab Version 2108 sind auch die folgenden Endpunkte erforderlich: https://*.blob.core.windows.net/ https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/ |
HTTPS 443 | Öffentliche VIP - /27 | Erforderlich, wenn Azure Stack Hub-Telemetrie aktiviert ist. |
Für ausgehende URLs wird mithilfe von Azure Traffic Manager ein Lastausgleich vorgenommen, um bestmögliche Konnektivität basierend auf dem geografischen Standort zu bieten. Durch URLs mit Lastenausgleich kann Microsoft Back-End-Endpunkte ohne Auswirkungen auf Kunden aktualisieren und ändern. Microsoft gibt die Liste der IP-Adressen für die URLs mit Lastenausgleich nicht frei. Verwenden Sie ein Gerät, das ein Filtern nach URL und nicht nach IP-Adresse unterstützt.
Ausgehender DNS-Datenverkehr ist immer erforderlich. Nur die Quelle für die externe DNS-Abfrage und die gewählte Identitätsintegration können variieren. Während der Bereitstellung eines verbundenen Szenarios benötigt der DVM im BMC-Netzwerk Zugriff auf den ausgehenden Datenverkehr. Nach der Bereitstellung wird der DNS-Dienst jedoch in eine interne Komponente verschoben, die Abfragen über eine öffentliche virtuelle IP-Adresse sendet. Zu diesem Zeitpunkt kann der ausgehende DNS-Zugriff über das BMC-Netzwerk entfernt werden, aber der Zugriff über die öffentliche virtuelle IP-Adresse auf diesen DNS-Server muss erhalten bleiben, weil es bei der Authentifizierung ansonsten zu einem Fehler kommt.