Publier des services Azure Stack Hub dans votre centre de données
Azure Stack Hub configure des adresses IP virtuelles pour ses rôles d’infrastructure. Ces adresses IP virtuelles sont allouées à partir du pool d’adresses IP publiques. Chaque adresse IP virtuelle est sécurisée à l’aide d’une liste de contrôle d’accès (ACL) dans la couche réseau à définition logicielle. Les listes ACL sont également utilisées dans les commutateurs physiques (TOR et BMC) pour renforcer la solution. Une entrée DNS est créée pour chaque point de terminaison dans la zone DNS externe spécifiée au moment du déploiement. Par exemple, le portail utilisateur se voit attribué l’entrée d’hôte DNS portal.<region>.<fqdn>.
Le diagramme architectural suivant montre les différentes couches réseau et les listes ACL :
Ports et URL
Pour rendre des services Azure Stack Hub (tels que les portails, Azure Resource Manager, DNS, etc.) disponibles pour des réseaux externes, vous devez autoriser le trafic entrant vers ces points de terminaison pour des URL, des ports et des protocoles spécifiques.
Dans un déploiement où un proxy transparent achemine par liaison montante les données à un serveur proxy traditionnel ou un pare-feu protège la solution, vous devez autoriser des URL et des ports spécifiques pour les communications entrantes et sortantes. Cela comprend les ports et les URL pour l’identité, la marketplace, les correctifs et les mises à jour, l’inscription ainsi que les données d’utilisation.
L’interception du trafic SSL n’est pas prise en charge et peut entraîner des échecs de service lors de l’accès aux points de terminaison.
Ports et protocoles (en entrée)
Un ensemble d’adresses IP virtuelles d’infrastructure est nécessaire pour la publication des points de terminaison Azure Stack Hub sur des réseaux externes. Le tableau Point de terminaison (VIP) affiche chaque point de terminaison, le port requis et le protocole. Consultez la documentation de déploiement spécifique au fournisseur de ressources pour les points de terminaison nécessitant des fournisseurs de ressources supplémentaires, comme le fournisseur de ressources SQL.
Les adresses IP virtuelles de l’infrastructure interne ne sont pas répertoriées car elles ne sont pas requises pour la publication d’Azure Stack Hub. Les adresses IP virtuelles d’utilisateur sont dynamiques et définies par les utilisateurs eux-mêmes, sans contrôle de la part de l’opérateur Azure Stack Hub.
Avec l’ajout de l’hôte d’extension, les ports de la plage 12495-30015 ne sont pas nécessaires.
Point de terminaison (VIP) | Enregistrement A d’hôte DNS | Protocole | Ports |
---|---|---|---|
AD FS | Adfs.<region>.<fqdn> | HTTPS | 443 |
Portail (administrateur) | Adminportal.<region>.<fqdn> | HTTPS | 443 |
Adminhosting | *.adminhosting.<region>.<fqdn> | HTTPS | 443 |
Azure Resource Manager (administrateur) | Adminmanagement.<region>.<fqdn> | HTTPS | 443 |
Portail (utilisateur) | Portal.<region>.<fqdn> | HTTPS | 443 |
Azure Resource Manager (utilisateur) | Management.<region>.<fqdn> | HTTPS | 443 |
Graphique | Graph.<region>.<fqdn> | HTTPS | 443 |
Liste de révocation de certificat | Crl.<region>.<fqdn> | HTTP | 80 |
DNS | *.<region>.<fqdn> | TCP et UDP | 53 |
Hébergement | *.hosting.<region>.<fqdn> | HTTPS | 443 |
Key Vault (utilisateur) | *.vault.<region>.<fqdn> | HTTPS | 443 |
Key Vault (administrateur) | *.adminvault.<region>.<fqdn> | HTTPS | 443 |
File d’attente de stockage | *.queue.<region>.<fqdn> | HTTP HTTPS |
80 443 |
Table de stockage | *.table.<region>.<fqdn> | HTTP HTTPS |
80 443 |
Storage Blob | *.blob.<region>.<fqdn> | HTTP HTTPS |
80 443 |
Fournisseur de ressources SQL | sqladapter.dbadapter.<region>.<fqdn> | HTTPS | 44300-44304 |
Fournisseur de ressources MySQL | mysqladapter.dbadapter.<region>.<fqdn> | HTTPS | 44300-44304 |
App Service | *.appservice.<region>.<fqdn> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
*.scm.appservice.<region>.<fqdn> | TCP | 443 (HTTPS) | |
api.appservice.<region>.<fqdn> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
ftp.appservice.<region>.<fqdn> | TCP, UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
Passerelles VPN | Protocole IP 50 & UDP | ESP (Encapsulating Security Payload) IPSec & UDP 500 et 4500 |
Ports et URL (en sortie)
Azure Stack Hub prend en charge uniquement les serveurs proxy transparents. Dans un déploiement où un proxy transparent transfère les données vers un serveur proxy traditionnel, vous devez autoriser les URL et les ports du tableau suivant pour les communications sortantes. Pour plus d’informations sur la configuration de serveurs proxy transparents, consultez Proxy transparent pour Azure Stack Hub.
L’interception du trafic SSL n’est pas prise en charge et peut entraîner des échecs de service lors de l’accès aux points de terminaison. Le délai d’expiration maximal pris en charge pour communiquer avec les points de terminaison requis pour l’identité est de 60 secondes.
Remarque
Azure Stack Hub ne prend pas en charge l’utilisation d’ExpressRoute pour atteindre les services Azure répertoriés dans le tableau suivant, car ExpressRoute risque de ne pas pouvoir router le trafic vers tous les points de terminaison.
Objectif | URL de destination | Protocole/ports | Réseau source | Exigence |
---|---|---|---|---|
Identité Permet à Azure Stack Hub de se connecter à l’ID Microsoft Entra pour l’authentification utilisateur et service. |
Microsoft Azurelogin.windows.net login.microsoftonline.com graph.windows.net https://secure.aadcdn.microsoftonline-p.com www.office.com ManagementServiceUri = https://management.core.windows.net ARMUri = https://management.azure.com https://*.msftauth.net https://*.msauth.net https://*.msocdn.com Azure Government https://login.microsoftonline.us/ https://graph.windows.net/ Azure China 21Vianet https://login.chinacloudapi.cn/ https://graph.chinacloudapi.cn/ Azure Allemagne https://login.microsoftonline.de/ https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
Adresse IP virtuelle publique - /27 Réseau d'infrastructure publique |
Obligatoire pour un déploiement connecté. |
Syndication de la Place de marché Cela vous permet de charger les éléments de la Place de marche sur Azure Stack Hub et de les rendre disponibles pour tous les utilisateurs avec l’environnement Azure Stack Hub. |
Microsoft Azurehttps://management.azure.com https://*.blob.core.windows.net https://*.azureedge.net Azure Government https://management.usgovcloudapi.net/ https://*.blob.core.usgovcloudapi.net/ Azure China 21Vianet https://management.chinacloudapi.cn/ http://*.blob.core.chinacloudapi.cn |
HTTPS 443 | Adresse IP virtuelle publique - /27 | Non obligatoire. Utilisez les instructions de scénario déconnecté pour charger les images sur Azure Stack Hub. |
Correctif et mise à jour Lorsqu’ils sont connectés à des points de terminaison de mise à jour, les mises à jour logicielles et les correctifs logiciels Azure Stack Hub s’affichent comme étant disponibles au téléchargement. |
https://*.azureedge.net https://aka.ms/azurestackautomaticupdate |
HTTPS 443 | Adresse IP virtuelle publique - /27 | Non obligatoire. Utilisez les instructions de connexion au déploiement déconnecté pour télécharger et préparer manuellement la mise à jour. |
Enregistrement Cela vous permet d’inscrire Azure Stack Hub avec Azure pour télécharger les éléments de la Place de marché Azure et configurer le rapport de données commerciales destinés à Microsoft. |
Microsoft Azurehttps://management.azure.com Azure Government https://management.usgovcloudapi.net/ Azure China 21Vianet https://management.chinacloudapi.cn |
HTTPS 443 | Adresse IP virtuelle publique - /27 | Non obligatoire. Vous pouvez utiliser le scénario déconnecté pour une inscription hors connexion. |
Utilisation Cela permet aux opérateurs Azure Stack Hub de configurer leur instance Azure Stack Hub pour communiquer les données utilisation à Azure. |
Microsoft Azurehttps://*.trafficmanager.net https://*.cloudapp.azure.com Azure Government https://*.usgovtrafficmanager.net https://*.cloudapp.usgovcloudapi.net Azure China 21Vianet https://*.trafficmanager.cn https://*.cloudapp.chinacloudapi.cn |
HTTPS 443 | Adresse IP virtuelle publique - /27 | Requis pour le modèle de licence basé sur la consommation d’Azure Stack Hub. |
Windows Defender Permet au fournisseur de ressources de télécharger les définitions de logiciel anti-programme malveillant et les mises à jour logicielles plusieurs fois par jour. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com *.wd.microsoft.com *.update.microsoft.com *.download.microsoft.com https://secure.aadcdn.microsoftonline-p.com |
HTTPS 80, 443 | Adresse IP virtuelle publique - /27 Réseau d'infrastructure publique |
Non obligatoire. Vous pouvez utiliser le scénario déconnecté pour mettre à jour les fichiers de signature de l’antivirus. |
NTP Permet à Azure Stack Hub de se connecter aux serveurs de temps. |
(IP du serveur NTP fourni pour le déploiement) | UDP 123 | Adresse IP virtuelle publique - /27 | Requis |
DNS Permet à Azure Stack Hub de se connecter au redirecteur du serveur DNS. |
(IP du serveur DNS fourni pour le déploiement) | TCP et UDP 53 | Adresse IP virtuelle publique - /27 | Requis |
SYSLOG Permet à Azure Stack Hub d’envoyer un message syslog à des fins de surveillance ou de sécurité. |
(IP du serveur SYSLOG fourni pour le déploiement) | TCP 6514, UDP 514 |
Adresse IP virtuelle publique - /27 | Facultatif |
CRL Permet à Azure Stack Hub de valider les certificats et de vérifier les certificats révoqués. |
URL sous Points de distribution CRL sur vos certificats | HTTP 80 | Adresse IP virtuelle publique - /27 | Requis |
CRL Permet à Azure Stack Hub de valider les certificats et de vérifier les certificats révoqués. |
http://crl.microsoft.com/pki/crl/products http://mscrl.microsoft.com/pki/mscorp http://www.microsoft.com/pki/certs http://www.microsoft.com/pki/mscorp http://www.microsoft.com/pkiops/crl http://www.microsoft.com/pkiops/certs |
HTTP 80 | Adresse IP virtuelle publique - /27 | Non obligatoire. Meilleures pratiques de sécurité recommandées. |
LDAP Permet à Azure Stack Hub de communiquer avec Microsoft Active Directory localement. |
Forêt Active Directory fournie pour l'intégration Graph | TCP et UDP 389 | Adresse IP virtuelle publique - /27 | Obligatoire lorsque Azure Stack Hub est déployé à l’aide d’AD FS. |
LDAP SSL Permet à Azure Stack Hub de communiquer de manière chiffrée avec Microsoft Active Directory localement. |
Forêt Active Directory fournie pour l'intégration Graph | TCP 636 | Adresse IP virtuelle publique - /27 | Obligatoire lorsque Azure Stack Hub est déployé à l’aide d’AD FS. |
LDAP GC Permet à Azure Stack Hub de communiquer avec le serveur de catalogue global Microsoft Active localement. |
Forêt Active Directory fournie pour l'intégration Graph | TCP 3268 | Adresse IP virtuelle publique - /27 | Obligatoire lorsque Azure Stack Hub est déployé à l’aide d’AD FS. |
LDAP GC SSL Permet à Azure Stack Hub de communiquer de manière chiffrée avec le serveur de catalogue global Microsoft Active Directory localement. |
Forêt Active Directory fournie pour l'intégration Graph | TCP 3269 | Adresse IP virtuelle publique - /27 | Obligatoire lorsque Azure Stack Hub est déployé à l’aide d’AD FS. |
AD FS Permet à Azure Stack Hub de communiquer avec AD FS localement. |
Point de terminaison de métadonnées AD FS fourni pour l'intégration AD FS | TCP 443 | Adresse IP virtuelle publique - /27 | facultatif. La confiance du fournisseur de revendications AD FS peut être créée à l’aide d’un fichier de métadonnées. |
Collecte des journaux de diagnostic Permet à Azure Stack Hub d’envoyer des journaux d’activité de manière proactive ou manuelle par un opérateur au support Microsoft. |
https://*.blob.core.windows.net https://azsdiagprdlocalwestus02.blob.core.windows.net https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | Adresse IP virtuelle publique - /27 | Non obligatoire. Vous pouvez enregistrer les journaux localement. |
Prise en charge à distance Permet aux professionnels du support Microsoft de résoudre plus rapidement les cas de support en autorisant l’accès à distance à l’appareil pour effectuer des opérations de dépannage et de réparation limitées. |
https://edgesupprd.trafficmanager.net https://edgesupprdwestusfrontend.westus2.cloudapp.azure.com https://edgesupprdwesteufrontend.westeurope.cloudapp.azure.com https://edgesupprdeastusfrontend.eastus.cloudapp.azure.com https://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.com https://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com *.servicebus.windows.net |
HTTPS 443 | Adresse IP virtuelle publique - /27 | Non obligatoire. |
Télémétrie Permet à Azure Stack Hub d’envoyer des données de télémétrie à Microsoft. |
https://settings-win.data.microsoft.com https://login.live.com *.events.data.microsoft.com À partir de la version 2108, les points de terminaison suivants sont également requis : https://*.blob.core.windows.net/ https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/ |
HTTPS 443 | Adresse IP virtuelle publique - /27 | Obligatoire quand la télémétrie Azure Stack Hub est activée. |
Les URL sortantes font l’objet d’un équilibrage de charge avec Azure Traffic Manager pour offrir la meilleure connectivité possible en fonction de l’emplacement géographique. Avec des URL faisant l’objet d’un équilibrage de charge, Microsoft peut mettre à jour et modifier les points de terminaison de back-end sans impact sur les clients. Microsoft ne partage pas la liste des adresses IP pour les URL qui font l’objet d’un équilibrage de charge. Utilisez un appareil qui prend en charge le filtrage par URL plutôt que par adresse IP.
Un DNS sortant est toujours nécessaire : ce qui change, c’est la source qui interroge le DNS externe et le type d’intégration d’identité choisi. Dans un scénario de déploiement connecté, la machine virtuelle de déploiement (DVM) qui se trouve sur le réseau BMC a besoin d’un accès sortant. Toutefois, après le déploiement, le service DNS passe à un composant interne qui enverra des requêtes via une adresse IP virtuelle publique. À ce stade, l’accès du DNS sortant par le biais du réseau BMC peut être supprimé, mais l’accès à ce serveur DNS par l’adresse IP virtuelle publique doit être maintenu faute de quoi l’authentification échouera.
Étapes suivantes
Exigences relatives à l’infrastructure de clés publiques d’Azure Stack Hub