Partager via


Publier des services Azure Stack Hub dans votre centre de données

Azure Stack Hub configure des adresses IP virtuelles pour ses rôles d’infrastructure. Ces adresses IP virtuelles sont allouées à partir du pool d’adresses IP publiques. Chaque adresse IP virtuelle est sécurisée à l’aide d’une liste de contrôle d’accès (ACL) dans la couche réseau à définition logicielle. Les listes ACL sont également utilisées dans les commutateurs physiques (TOR et BMC) pour renforcer la solution. Une entrée DNS est créée pour chaque point de terminaison dans la zone DNS externe spécifiée au moment du déploiement. Par exemple, le portail utilisateur se voit attribué l’entrée d’hôte DNS portal.<region>.<fqdn>.

Le diagramme architectural suivant montre les différentes couches réseau et les listes ACL :

Diagramme montrant différentes couches réseau et listes de contrôle d’accès

Ports et URL

Pour rendre des services Azure Stack Hub (tels que les portails, Azure Resource Manager, DNS, etc.) disponibles pour des réseaux externes, vous devez autoriser le trafic entrant vers ces points de terminaison pour des URL, des ports et des protocoles spécifiques.

Dans un déploiement où un proxy transparent achemine par liaison montante les données à un serveur proxy traditionnel ou un pare-feu protège la solution, vous devez autoriser des URL et des ports spécifiques pour les communications entrantes et sortantes. Cela comprend les ports et les URL pour l’identité, la marketplace, les correctifs et les mises à jour, l’inscription ainsi que les données d’utilisation.

L’interception du trafic SSL n’est pas prise en charge et peut entraîner des échecs de service lors de l’accès aux points de terminaison.

Ports et protocoles (en entrée)

Un ensemble d’adresses IP virtuelles d’infrastructure est nécessaire pour la publication des points de terminaison Azure Stack Hub sur des réseaux externes. Le tableau Point de terminaison (VIP) affiche chaque point de terminaison, le port requis et le protocole. Consultez la documentation de déploiement spécifique au fournisseur de ressources pour les points de terminaison nécessitant des fournisseurs de ressources supplémentaires, comme le fournisseur de ressources SQL.

Les adresses IP virtuelles de l’infrastructure interne ne sont pas répertoriées car elles ne sont pas requises pour la publication d’Azure Stack Hub. Les adresses IP virtuelles d’utilisateur sont dynamiques et définies par les utilisateurs eux-mêmes, sans contrôle de la part de l’opérateur Azure Stack Hub.

Avec l’ajout de l’hôte d’extension, les ports de la plage 12495-30015 ne sont pas nécessaires.

Point de terminaison (VIP) Enregistrement A d’hôte DNS Protocole Ports
AD FS Adfs.<region>.<fqdn> HTTPS 443
Portail (administrateur) Adminportal.<region>.<fqdn> HTTPS 443
Adminhosting *.adminhosting.<region>.<fqdn> HTTPS 443
Azure Resource Manager (administrateur) Adminmanagement.<region>.<fqdn> HTTPS 443
Portail (utilisateur) Portal.<region>.<fqdn> HTTPS 443
Azure Resource Manager (utilisateur) Management.<region>.<fqdn> HTTPS 443
Graphique Graph.<region>.<fqdn> HTTPS 443
Liste de révocation de certificat Crl.<region>.<fqdn> HTTP 80
DNS *.<region>.<fqdn> TCP et UDP 53
Hébergement *.hosting.<region>.<fqdn> HTTPS 443
Key Vault (utilisateur) *.vault.<region>.<fqdn> HTTPS 443
Key Vault (administrateur) *.adminvault.<region>.<fqdn> HTTPS 443
File d’attente de stockage *.queue.<region>.<fqdn> HTTP
HTTPS
80
443
Table de stockage *.table.<region>.<fqdn> HTTP
HTTPS
80
443
Storage Blob *.blob.<region>.<fqdn> HTTP
HTTPS
80
443
Fournisseur de ressources SQL sqladapter.dbadapter.<region>.<fqdn> HTTPS 44300-44304
Fournisseur de ressources MySQL mysqladapter.dbadapter.<region>.<fqdn> HTTPS 44300-44304
App Service *.appservice.<region>.<fqdn> TCP 80 (HTTP)
443 (HTTPS)
8172 (MSDeploy)
*.scm.appservice.<region>.<fqdn> TCP 443 (HTTPS)
api.appservice.<region>.<fqdn> TCP 443 (HTTPS)
44300 (Azure Resource Manager)
ftp.appservice.<region>.<fqdn> TCP, UDP 21, 1021, 10001-10100 (FTP)
990 (FTPS)
Passerelles VPN Protocole IP 50 & UDP ESP (Encapsulating Security Payload) IPSec & UDP 500 et 4500

Ports et URL (en sortie)

Azure Stack Hub prend en charge uniquement les serveurs proxy transparents. Dans un déploiement où un proxy transparent transfère les données vers un serveur proxy traditionnel, vous devez autoriser les URL et les ports du tableau suivant pour les communications sortantes. Pour plus d’informations sur la configuration de serveurs proxy transparents, consultez Proxy transparent pour Azure Stack Hub.

L’interception du trafic SSL n’est pas prise en charge et peut entraîner des échecs de service lors de l’accès aux points de terminaison. Le délai d’expiration maximal pris en charge pour communiquer avec les points de terminaison requis pour l’identité est de 60 secondes.

Remarque

Azure Stack Hub ne prend pas en charge l’utilisation d’ExpressRoute pour atteindre les services Azure répertoriés dans le tableau suivant, car ExpressRoute risque de ne pas pouvoir router le trafic vers tous les points de terminaison.

Objectif URL de destination Protocole/ports Réseau source Exigence
Identité
Permet à Azure Stack Hub de se connecter à l’ID Microsoft Entra pour l’authentification utilisateur et service.
Microsoft Azure
login.windows.net
login.microsoftonline.com
graph.windows.net
https://secure.aadcdn.microsoftonline-p.com
www.office.com
ManagementServiceUri = https://management.core.windows.net
ARMUri = https://management.azure.com
https://*.msftauth.net
https://*.msauth.net
https://*.msocdn.com
Azure Government
https://login.microsoftonline.us/
https://graph.windows.net/
Azure China 21Vianet
https://login.chinacloudapi.cn/
https://graph.chinacloudapi.cn/
Azure Allemagne
https://login.microsoftonline.de/
https://graph.cloudapi.de/
HTTP 80,
HTTPS 443
Adresse IP virtuelle publique - /27
Réseau d'infrastructure publique
Obligatoire pour un déploiement connecté.
Syndication de la Place de marché
Cela vous permet de charger les éléments de la Place de marche sur Azure Stack Hub et de les rendre disponibles pour tous les utilisateurs avec l’environnement Azure Stack Hub.
Microsoft Azure
https://management.azure.com
https://*.blob.core.windows.net
https://*.azureedge.net
Azure Government
https://management.usgovcloudapi.net/
https://*.blob.core.usgovcloudapi.net/
Azure China 21Vianet
https://management.chinacloudapi.cn/
http://*.blob.core.chinacloudapi.cn
HTTPS 443 Adresse IP virtuelle publique - /27 Non obligatoire. Utilisez les instructions de scénario déconnecté pour charger les images sur Azure Stack Hub.
Correctif et mise à jour
Lorsqu’ils sont connectés à des points de terminaison de mise à jour, les mises à jour logicielles et les correctifs logiciels Azure Stack Hub s’affichent comme étant disponibles au téléchargement.
https://*.azureedge.net
https://aka.ms/azurestackautomaticupdate
HTTPS 443 Adresse IP virtuelle publique - /27 Non obligatoire. Utilisez les instructions de connexion au déploiement déconnecté pour télécharger et préparer manuellement la mise à jour.
Enregistrement
Cela vous permet d’inscrire Azure Stack Hub avec Azure pour télécharger les éléments de la Place de marché Azure et configurer le rapport de données commerciales destinés à Microsoft.
Microsoft Azure
https://management.azure.com
Azure Government
https://management.usgovcloudapi.net/
Azure China 21Vianet
https://management.chinacloudapi.cn
HTTPS 443 Adresse IP virtuelle publique - /27 Non obligatoire. Vous pouvez utiliser le scénario déconnecté pour une inscription hors connexion.
Utilisation
Cela permet aux opérateurs Azure Stack Hub de configurer leur instance Azure Stack Hub pour communiquer les données utilisation à Azure.
Microsoft Azure
https://*.trafficmanager.net
https://*.cloudapp.azure.com
Azure Government
https://*.usgovtrafficmanager.net
https://*.cloudapp.usgovcloudapi.net
Azure China 21Vianet
https://*.trafficmanager.cn
https://*.cloudapp.chinacloudapi.cn
HTTPS 443 Adresse IP virtuelle publique - /27 Requis pour le modèle de licence basé sur la consommation d’Azure Stack Hub.
Windows Defender
Permet au fournisseur de ressources de télécharger les définitions de logiciel anti-programme malveillant et les mises à jour logicielles plusieurs fois par jour.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
*.update.microsoft.com
*.download.microsoft.com

https://secure.aadcdn.microsoftonline-p.com
HTTPS 80, 443 Adresse IP virtuelle publique - /27
Réseau d'infrastructure publique
Non obligatoire. Vous pouvez utiliser le scénario déconnecté pour mettre à jour les fichiers de signature de l’antivirus.
NTP
Permet à Azure Stack Hub de se connecter aux serveurs de temps.
(IP du serveur NTP fourni pour le déploiement) UDP 123 Adresse IP virtuelle publique - /27 Requis
DNS
Permet à Azure Stack Hub de se connecter au redirecteur du serveur DNS.
(IP du serveur DNS fourni pour le déploiement) TCP et UDP 53 Adresse IP virtuelle publique - /27 Requis
SYSLOG
Permet à Azure Stack Hub d’envoyer un message syslog à des fins de surveillance ou de sécurité.
(IP du serveur SYSLOG fourni pour le déploiement) TCP 6514,
UDP 514
Adresse IP virtuelle publique - /27 Facultatif
CRL
Permet à Azure Stack Hub de valider les certificats et de vérifier les certificats révoqués.
URL sous Points de distribution CRL sur vos certificats HTTP 80 Adresse IP virtuelle publique - /27 Requis
CRL
Permet à Azure Stack Hub de valider les certificats et de vérifier les certificats révoqués.
http://crl.microsoft.com/pki/crl/products
http://mscrl.microsoft.com/pki/mscorp
http://www.microsoft.com/pki/certs
http://www.microsoft.com/pki/mscorp
http://www.microsoft.com/pkiops/crl
http://www.microsoft.com/pkiops/certs
HTTP 80 Adresse IP virtuelle publique - /27 Non obligatoire. Meilleures pratiques de sécurité recommandées.
LDAP
Permet à Azure Stack Hub de communiquer avec Microsoft Active Directory localement.
Forêt Active Directory fournie pour l'intégration Graph TCP et UDP 389 Adresse IP virtuelle publique - /27 Obligatoire lorsque Azure Stack Hub est déployé à l’aide d’AD FS.
LDAP SSL
Permet à Azure Stack Hub de communiquer de manière chiffrée avec Microsoft Active Directory localement.
Forêt Active Directory fournie pour l'intégration Graph TCP 636 Adresse IP virtuelle publique - /27 Obligatoire lorsque Azure Stack Hub est déployé à l’aide d’AD FS.
LDAP GC
Permet à Azure Stack Hub de communiquer avec le serveur de catalogue global Microsoft Active localement.
Forêt Active Directory fournie pour l'intégration Graph TCP 3268 Adresse IP virtuelle publique - /27 Obligatoire lorsque Azure Stack Hub est déployé à l’aide d’AD FS.
LDAP GC SSL
Permet à Azure Stack Hub de communiquer de manière chiffrée avec le serveur de catalogue global Microsoft Active Directory localement.
Forêt Active Directory fournie pour l'intégration Graph TCP 3269 Adresse IP virtuelle publique - /27 Obligatoire lorsque Azure Stack Hub est déployé à l’aide d’AD FS.
AD FS
Permet à Azure Stack Hub de communiquer avec AD FS localement.
Point de terminaison de métadonnées AD FS fourni pour l'intégration AD FS TCP 443 Adresse IP virtuelle publique - /27 facultatif. La confiance du fournisseur de revendications AD FS peut être créée à l’aide d’un fichier de métadonnées.
Collecte des journaux de diagnostic
Permet à Azure Stack Hub d’envoyer des journaux d’activité de manière proactive ou manuelle par un opérateur au support Microsoft.
https://*.blob.core.windows.net
https://azsdiagprdlocalwestus02.blob.core.windows.net
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com
HTTPS 443 Adresse IP virtuelle publique - /27 Non obligatoire. Vous pouvez enregistrer les journaux localement.
Prise en charge à distance
Permet aux professionnels du support Microsoft de résoudre plus rapidement les cas de support en autorisant l’accès à distance à l’appareil pour effectuer des opérations de dépannage et de réparation limitées.
https://edgesupprd.trafficmanager.net
https://edgesupprdwestusfrontend.westus2.cloudapp.azure.com
https://edgesupprdwesteufrontend.westeurope.cloudapp.azure.com
https://edgesupprdeastusfrontend.eastus.cloudapp.azure.com
https://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.com
https://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com
*.servicebus.windows.net
HTTPS 443 Adresse IP virtuelle publique - /27 Non obligatoire.
Télémétrie
Permet à Azure Stack Hub d’envoyer des données de télémétrie à Microsoft.
https://settings-win.data.microsoft.com
https://login.live.com
*.events.data.microsoft.com
À partir de la version 2108, les points de terminaison suivants sont également requis :
https://*.blob.core.windows.net/
https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/
HTTPS 443 Adresse IP virtuelle publique - /27 Obligatoire quand la télémétrie Azure Stack Hub est activée.

Les URL sortantes font l’objet d’un équilibrage de charge avec Azure Traffic Manager pour offrir la meilleure connectivité possible en fonction de l’emplacement géographique. Avec des URL faisant l’objet d’un équilibrage de charge, Microsoft peut mettre à jour et modifier les points de terminaison de back-end sans impact sur les clients. Microsoft ne partage pas la liste des adresses IP pour les URL qui font l’objet d’un équilibrage de charge. Utilisez un appareil qui prend en charge le filtrage par URL plutôt que par adresse IP.

Un DNS sortant est toujours nécessaire : ce qui change, c’est la source qui interroge le DNS externe et le type d’intégration d’identité choisi. Dans un scénario de déploiement connecté, la machine virtuelle de déploiement (DVM) qui se trouve sur le réseau BMC a besoin d’un accès sortant. Toutefois, après le déploiement, le service DNS passe à un composant interne qui enverra des requêtes via une adresse IP virtuelle publique. À ce stade, l’accès du DNS sortant par le biais du réseau BMC peut être supprimé, mais l’accès à ce serveur DNS par l’adresse IP virtuelle publique doit être maintenu faute de quoi l’authentification échouera.

Étapes suivantes

Exigences relatives à l’infrastructure de clés publiques d’Azure Stack Hub