Pubblicare i servizi dell'hub di Azure Stack nel data center
L'hub di Azure Stack configura gli indirizzi IP virtuali (VIP) per i ruoli dell'infrastruttura. Questi indirizzi VIP vengono allocati dal pool di indirizzi IP pubblici. Ogni VIP è protetto con un elenco di controllo di accesso (ACL) nel livello di rete definito dal software. Gli ACL vengono usati anche tra i commutatori fisici (TOR e BMC) per rafforzare ulteriormente la soluzione. Viene creata una voce DNS per ogni endpoint nella zona DNS esterna specificata in fase di distribuzione. Ad esempio, al portale dell'utente viene assegnata la voce host DNS del portale.<regione>.<fqdn>.
Il diagramma dell'architettura seguente illustra i diversi livelli di rete e ACL:
Porte e URL
Per rendere disponibili i servizi dell'hub di Azure Stack (ad esempio i portali, Azure Resource Manager, DNS e così via) per le reti esterne, è necessario consentire il traffico in ingresso a questi endpoint per URL, porte e protocolli specifici.
In una distribuzione in cui un proxy trasparente si ricollega a un server proxy tradizionale o a un firewall protegge la soluzione, è necessario consentire porte e URL specifici per la comunicazione in ingresso e in uscita . Queste includono porte e URL per identità, marketplace, patch e aggiornamento, registrazione e dati di utilizzo.
L'intercettazione del traffico SSL non è supportata e può causare errori del servizio durante l'accesso agli endpoint.
Porte e protocolli (in entrata)
Per pubblicare gli endpoint di Azure Stack Hub su reti esterne è richiesto un set di VIP di infrastruttura. La tabella Endpoint (VIP) mostra ogni endpoint, la porta richiesta e il protocollo. Vedere la documentazione specifica relativa alla distribuzione del provider di risorse per gli endpoint che richiedono provider di risorse aggiuntivi, ad esempio il provider di risorse SQL.
Gli indirizzi VIP dell'infrastruttura interna non sono elencati perché non sono necessari per la pubblicazione di Azure Stack Hub. Gli indirizzi VIP utente sono dinamici e definiti dagli utenti stessi, senza alcun controllo da parte dell'operatore hub di Azure Stack.
Con l'aggiunta dell'Extension Host, le porte nell'intervallo 12495-30015 non sono necessarie.
| Endpoint (VIP) | Record A dell'host DNS | Protocollo | Porte |
|---|---|---|---|
| AD FS | Adfs.<regione>.<fqdn> | HTTPS | 443 |
| Portale (amministratore) | Adminportal.<region>.<Fqdn> | HTTPS | 443 |
| Adminhosting | *.adminhosting.<area>.<fqdn> | HTTPS | 443 |
| Azure Resource Manager (amministratore) | Adminmanagement.<regione>.<fqdn> | HTTPS | 443 |
| Portale (utente) | Portal.<region>.<fqdn> | HTTPS | 443 |
| Azure Resource Manager (utente) | Gestione.<area>.<fqdn> | HTTPS | 443 |
| Grafico | Grafico.<area>.<fqdn> | HTTPS | 443 |
| Elenco di revoche di certificati (CRL, Certificate Revocation List) | Crl.<regione>.<fqdn> | HTTP | 80 |
| DNS | *.<regione>.<fqdn> | TCP & UDP | 53 |
| servizio di hosting | *.hosting.<region>.<fqdn> | HTTPS | 443 |
| Key Vault (utente) | *.vault.<area>.<fqdn> | HTTPS | 443 |
| Key Vault (amministratore) | *.adminvault.<area>.<fqdn> | HTTPS | 443 |
| Archiviazione - Coda | *.coda.<region>.<fqdn> | HTTP HTTPS |
80 443 |
| Tabella di archiviazione | *.table.<area>.<fqdn> | HTTP HTTPS |
80 443 |
| Blob di archiviazione | *.blob.<region>.<fqdn> | HTTP HTTPS |
80 443 |
| Provider di risorse SQL | sqladapter.dbadapter.<area>.<fqdn> | HTTPS | 44300-44304 |
| Provider di risorse MySQL | mysqladapter.dbadapter.<area>.<fqdn> | HTTPS | 44300-44304 |
| Servizio app | *.appservice.<region>.<fqdn> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
| *.scm.appservice.<region>.<fqdn> | TCP | 443 (HTTPS) | |
| api.appservice.<area>.<fqdn> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
| ftp.appservice.<area>.<fqdn> | TCP, UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
| Gateway VPN | Protocollo IP 50 & UDP | Pila di Sicurezza di Incapsulamento (ESP) IPSec & UDP 500 e 4500 |
Porte e URL (in uscita)
L'hub di Azure Stack supporta solo server proxy trasparenti. In una distribuzione con uplink proxy trasparente verso un tradizionale server proxy, è necessario consentire le porte e gli URL nella tabella seguente per la comunicazione in uscita. Per altre informazioni sulla configurazione di server proxy trasparenti, vedere Proxy trasparente per l'hub di Azure Stack.
L'intercettazione del traffico SSL non è supportata e può causare errori del servizio durante l'accesso agli endpoint. Il timeout massimo supportato per comunicare con gli endpoint necessari per l'identità è 60s.
Nota
L'hub di Azure Stack non supporta l'uso di ExpressRoute per raggiungere i servizi di Azure elencati nella tabella seguente perché ExpressRoute potrebbe non essere in grado di instradare il traffico a tutti gli endpoint.
| Scopo | URL di destinazione | Protocollo/porte | Rete di origine | Requisito |
|---|---|---|---|---|
|
Identità Consente all'hub di Azure Stack di connettersi all'ID Microsoft Entra per l'autenticazione utente e servizio. |
Azurelogin.windows.netlogin.microsoftonline.comgraph.windows.nethttps://secure.aadcdn.microsoftonline-p.comwww.office.comManagementServiceUri = https://management.core.windows.netARMUri = https://management.azure.comhttps://*.msftauth.nethttps://*.msauth.nethttps://*.msocdn.comAzure Government https://login.microsoftonline.us/https://graph.windows.net/Azure Cina 21Vianet https://login.chinacloudapi.cn/https://graph.chinacloudapi.cn/Azure Germania https://login.microsoftonline.de/https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
VIP pubblico - /27 Rete dell'infrastruttura pubblica |
Obbligatorio per una distribuzione connessa. |
|
Sincronizzazione del Marketplace Consente di scaricare gli elementi nell'hub di Azure Stack dal Marketplace e renderli disponibili a tutti gli utenti usando l'ambiente dell'hub di Azure Stack. |
Azurehttps://management.azure.comhttps://*.blob.core.windows.nethttps://azurestackhub.download.prss.microsoft.comAzure Government https://management.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/Azure Cina 21Vianet https://management.chinacloudapi.cn/http://*.blob.core.chinacloudapi.cn |
HTTPS 443 | Indirizzo VIP pubblico - /27 | Non obbligatorio. Usare le istruzioni per lo scenario disconnesso per caricare immagini nell'hub di Azure Stack. |
|
Patch & Update Quando si è connessi agli endpoint di aggiornamento, gli aggiornamenti software e gli hotfix dell'hub di Azure Stack vengono visualizzati come disponibili per il download. |
https://azurestackhub.download.prss.microsoft.comhttps://aka.ms/azurestackautomaticupdate |
HTTPS 443 | Indirizzo VIP pubblico - /27 | Non obbligatorio. Usare le istruzioni di connessione per la distribuzione disconnessa per scaricare e preparare manualmente l'aggiornamento. |
|
Registrazione Consente di registrare l'hub di Azure Stack con Azure per scaricare gli elementi di Azure Marketplace e configurare nuovamente la creazione di report sui dati commerciali in Microsoft. |
Azurehttps://management.azure.comAzure Government https://management.usgovcloudapi.net/Azure Cina 21Vianet https://management.chinacloudapi.cn |
HTTPS 443 | Indirizzo VIP pubblico - /27 | Non obbligatorio. È possibile usare lo scenario disconnesso per la registrazione offline. |
|
Utilizzo Consente agli operatori dell'hub di Azure Stack di configurare l'istanza dell'hub di Azure Stack per segnalare i dati di utilizzo in Azure. |
Azurehttps://*.trafficmanager.nethttps://*.cloudapp.azure.comAzure Government https://*.usgovtrafficmanager.nethttps://*.cloudapp.usgovcloudapi.netAzure Cina 21Vianet https://*.trafficmanager.cnhttps://*.cloudapp.chinacloudapi.cn |
HTTPS 443 | Indirizzo VIP pubblico - /27 | Obbligatorio per il modello di licenza basato sul consumo dell'hub di Azure Stack. |
|
Windows Defender Consente al provider di risorse di aggiornamento di scaricare le definizioni antimalware e gli aggiornamenti del motore più volte al giorno. |
*.wdcp.microsoft.com*.wdcpalt.microsoft.com*.wd.microsoft.com*.update.microsoft.com*.download.microsoft.comhttps://secure.aadcdn.microsoftonline-p.com |
HTTPS 80, 443 | VIP pubblico - /27 Rete dell'infrastruttura pubblica |
Non obbligatorio. È possibile usare lo scenario disconnesso per aggiornare i file di firma antivirus. |
|
NTP Consente all'hub di Azure Stack di connettersi ai server temporali. |
(IP del server NTP fornito per la distribuzione) | UDP 123 | VIP pubblico - /27 | Richiesto |
|
DNS Consente all'hub di Azure Stack di connettersi al server d'inoltro DNS. |
(IP del server DNS fornito per la distribuzione) | TCP & UDP 53 | VIP pubblico - /27 | Richiesto |
|
SYSLOG Consente all'hub di Azure Stack di inviare un messaggio syslog per scopi di monitoraggio o sicurezza. |
(IP del server SYSLOG fornito per la distribuzione) | TCP 6514, UDP 514 |
Indirizzo VIP pubblico - /27 | Facoltativo |
|
CRL Consente all'hub di Azure Stack di convalidare i certificati e verificare la presenza di certificati revocati. |
URL nei punti di distribuzione CRL nei certificati | HTTP 80 | Indirizzo VIP pubblico - /27 | Richiesto |
|
CRL Consente all'hub di Azure Stack di convalidare i certificati e verificare la presenza di certificati revocati. |
http://crl.microsoft.com/pki/crl/productshttp://mscrl.microsoft.com/pki/mscorphttp://www.microsoft.com/pki/certshttp://www.microsoft.com/pki/mscorphttp://www.microsoft.com/pkiops/crlhttp://www.microsoft.com/pkiops/certs |
HTTP 80 | Indirizzo VIP pubblico - /27 | Non obbligatorio. Procedura altamente consigliata come migliore pratica di sicurezza. |
|
LDAP Consente all'hub di Azure Stack di comunicare con Microsoft Active Directory locale. |
Foresta di Active Directory fornita per l'integrazione con Graph | TCP & UDP 389 | Risorsa VIP pubblica - /27 | Obbligatorio quando l'hub di Azure Stack viene distribuito tramite AD FS. |
|
LDAP SSL Consente all'hub di Azure Stack di comunicare crittografati con Microsoft Active Directory locale. |
Foresta di Active Directory fornita per l'integrazione con Graph | TCP 636 | Indirizzo VIP pubblico - /27 | Obbligatorio quando l'hub di Azure Stack viene distribuito tramite AD FS. |
|
LDAP GC Consente all'hub di Azure Stack di comunicare con i server del catalogo globale Microsoft Active. |
Foresta di Active Directory fornita per l'integrazione con Graph | TCP 3268 | VIP Pubblico - /27 | Obbligatorio quando l'hub di Azure Stack viene distribuito tramite AD FS. |
|
LDAP GC SSL Consente all'hub di Azure Stack di comunicare crittografato con i server di catalogo globale di Microsoft Active Directory. |
Foresta di Active Directory fornita per l'integrazione con Microsoft Graph | TCP 3269 | Indirizzo VIP pubblico - /27 | Obbligatorio quando l'hub di Azure Stack viene distribuito tramite AD FS. |
|
AD FS Consente all'hub di Azure Stack di comunicare con AD FS locale. |
Endpoint dei metadati di AD FS fornito per l'integrazione con AD FS | TCP 443 | Indirizzo IP virtuale pubblico - /27 | Facoltativo. L'attendibilità del provider di attestazioni AD FS può essere creata usando un file di metadati. |
|
Raccolta di log di diagnostica Consente all'hub di Azure Stack di inviare i log in modo proattivo o manuale da un operatore al supporto Tecnico Microsoft. |
https://*.blob.core.windows.nethttps://azsdiagprdlocalwestus02.blob.core.windows.nethttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.comhttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | VIP pubblico - Indirizzo /27 | Non obbligatorio. È possibile salvare i log in locale. |
|
Supporto remoto Consente ai professionisti del supporto Microsoft di risolvere più rapidamente il caso di supporto consentendo l'accesso al dispositivo in remoto per eseguire operazioni limitate di risoluzione dei problemi e riparazione. |
https://edgesupprd.trafficmanager.nethttps://edgesupprdwestusfrontend.westus2.cloudapp.azure.comhttps://edgesupprdwesteufrontend.westeurope.cloudapp.azure.comhttps://edgesupprdeastusfrontend.eastus.cloudapp.azure.comhttps://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.comhttps://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com*.servicebus.windows.net |
HTTPS 443 | VIP Pubblico - /27 | Non obbligatorio. |
|
Telemetria Consente all'hub di Azure Stack di inviare dati di telemetria a Microsoft. |
https://settings-win.data.microsoft.comhttps://login.live.com*.events.data.microsoft.comA partire dalla versione 2108, sono necessari anche gli endpoint seguenti: https://*.blob.core.windows.net/https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/ |
HTTPS 443 | Indirizzo VIP pubblico - /27 | Richiesto quando la telemetria di Azure Stack Hub è abilitata. |
Gli URL in uscita vengono bilanciati con Gestione traffico di Azure per offrire la migliore connettività possibile in base alla posizione geografica. Con gli URL con carico bilanciato, Microsoft può aggiornare e modificare gli endpoint back-end senza influire sui clienti. Microsoft non condivide l'elenco di indirizzi IP per gli URL con carico bilanciato. Usare un dispositivo che supporta il filtro in base all'URL anziché all'INDIRIZZO IP.
Il DNS in uscita è necessario in qualsiasi momento; ciò che varia è l'origine che esegue query sul DNS esterno e sul tipo di integrazione delle identità scelto. Durante la distribuzione per uno scenario connesso, la DVM che si trova nella rete BMC richiede l'accesso in uscita. Tuttavia, dopo la distribuzione, il servizio DNS passa a un componente interno che invierà query tramite un indirizzo VIP pubblico. In quel momento, l'accesso DNS in uscita attraverso la rete BMC può essere rimosso, ma l'accesso VIP pubblico a tale server DNS deve rimanere o altrimenti l'autenticazione avrà esito negativo.
Passaggi successivi
Requisiti dell'infrastruttura a chiave pubblica dell'hub di Azure Stack