データセンターに Azure Stack Hub サービスを発行する
Azure Stack Hub では、そのインフラストラクチャ ロールのために仮想 IP アドレス (VIP) を設定します。 この VIP はパブリック IP アドレス プールから割り当てられます。 各 VIP は、ソフトウェア定義のネットワーク レイヤーで、アクセス制御リスト (ACL) で保護されます。 ACL は、ソリューションをさらに強化するために、さまざまな物理スイッチ (TOR や BMC) でも使われます。 デプロイ時に指定された外部 DNS ゾーン内のエンドポイントごとに、DNS エントリが作成されます。 たとえば、ユーザー ポータルに portal.<region>.<fqdn> の DNS ホスト エントリが割り当てられます。
次のアーキテクチャ図は、さまざまなネットワーク レイヤーと ACL を示しています。
ポートと URL
Azure Stack Hub サービス (ポータル、Azure Resource Manager、DNS など) を外部ネットワークで使用できるようにするには、特定の URL、ポート、プロトコルに対して、これらのエンドポイントへの受信トラフィックを許可する必要があります。
透過プロキシから従来のプロキシ サーバーへのアップリンクが存在するか、ファイアウォールでソリューションを保護しているデプロイでは、特定のポートと URL に受信および送信の両方の通信を許可する必要があります。 これには、ID、マーケットプレース、パッチと更新プログラム、登録、使用状況データに使用するポートと URL が該当します。
SSL トラフィックのインターセプトはサポートされておらず、エンドポイントへのアクセスでサービス エラーが発生する可能性があります。
ポートとプロトコル (受信)
Azure Stack Hub エンドポイントを外部ネットワークに発行するには、一連のインフラストラクチャ VIP が必要です。 "エンドポイント (VIP)" の表は、各エンドポイント、必要なポート、およびプロトコルを示しています。 SQL リソース プロバイダーなど、追加のリソース プロバイダーを必要とするエンドポイントについては、特定のリソース プロバイダーのデプロイに関するドキュメントを参照してください。
内部インフラストラクチャの VIP は Azure Stack Hub の発行には必要ないため、リストされていません。 ユーザーの VIP は動的であり、ユーザー自身によって定義され、Azure Stack Hub オペレーターによって制御されません。
拡張機能ホストの追加により、12495 から 30015 の範囲のポートは必要ありません。
エンドポイント (VIP) | DNS ホスト A レコード | Protocol | Port |
---|---|---|---|
AD FS | Adfs.<region>.<fqdn> | HTTPS | 443 |
ポータル (管理者) | Adminportal.<region>.<fqdn> | HTTPS | 443 |
AdminHosting | *.adminhosting.<region>.<fqdn> | HTTPS | 443 |
Azure Resource Manager (管理者) | Adminmanagement.<region>.<fqdn> | HTTPS | 443 |
ポータル (ユーザー) | Portal.<region>.<fqdn> | HTTPS | 443 |
Azure Resource Manager (ユーザー) | Management.<region>.<fqdn> | HTTPS | 443 |
グラフ | Graph.<region>.<fqdn> | HTTPS | 443 |
証明書の失効リスト | Crl.<region>.<fqdn> | HTTP | 80 |
DNS | *.<region>.<fqdn> | TCP と UDP | 53 |
ホスティング | *.hosting.<region>.<fqdn> | HTTPS | 443 |
Key Vault (ユーザー) | *.vault.<region>.<fqdn> | HTTPS | 443 |
Key Vault (管理者) | *.adminvault.<region>.<fqdn> | HTTPS | 443 |
ストレージ キュー | *.queue.<region>.<fqdn> | HTTP HTTPS |
80 443 |
ストレージ テーブル | *.table.<region>.<fqdn> | HTTP HTTPS |
80 443 |
ストレージ BLOB | *.blob.<region>.<fqdn> | HTTP HTTPS |
80 443 |
SQL リソース プロバイダー | sqladapter.dbadapter.<region>.<fqdn> | HTTPS | 44300-44304 |
MySQL リソース プロバイダー | mysqladapter.dbadapter.<region>.<fqdn> | HTTPS | 44300-44304 |
App Service | *.appservice.<region>.<fqdn> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
*.scm.appservice.<region>.<fqdn> | TCP | 443 (HTTPS) | |
api.appservice.<region>.<fqdn> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
ftp.appservice.<region>.<fqdn> | TCP、UDP | 21、1021、10001-10100 (FTP) 990 (FTPS) |
|
VPN ゲートウェイ | IP プロトコル 50 & UDP | カプセル化セキュリティ ペイロード (ESP) IPSec & UDP 500 および 4500 |
ポートと URL (送信)
Azure Stack Hub では、透過プロキシ サーバーのみがサポートされます。 透過プロキシから従来のプロキシ サーバーへのアップリンクが存在するデプロイ環境では、次の表のポートと URL に外部への通信を許可する必要があります。 透過プロキシ サーバーの構成の詳細については、「Azure Stack Hub の透過プロキシ」を参照してください。
SSL トラフィックのインターセプトはサポートされておらず、エンドポイントへのアクセスでサービス エラーが発生する可能性があります。 ID に必要なエンドポイントとの通信に対してサポートされる最大タイムアウトは、60 秒です。
Note
ExpressRoute ではすべてのエンドポイントにトラフィックをルーティングできない場合があるため、Azure Stack Hub では、ExpressRoute を使用して、次の表にリストされている Azure サービスに到達することはサポートされていません。
目的 | 宛先 URL | プロトコル/ポート | 発信元ネットワーク | 要件 |
---|---|---|---|---|
ID Azure Stack Hub がユーザーおよびサービス認証のために Microsoft Entra ID に接続できるようにします。 |
Azurelogin.windows.net login.microsoftonline.com graph.windows.net https://secure.aadcdn.microsoftonline-p.com www.office.com ManagementServiceUri = https://management.core.windows.net ARMUri = https://management.azure.com https://*.msftauth.net https://*.msauth.net https://*.msocdn.com Azure Government https://login.microsoftonline.us/ https://graph.windows.net/ Azure China 21Vianet https://login.chinacloudapi.cn/ https://graph.chinacloudapi.cn/ Azure Germany https://login.microsoftonline.de/ https://graph.cloudapi.de/ |
HTTP 80、 HTTPS 443 |
パブリック VIP - /27 パブリック インフラストラクチャ ネットワーク |
接続されたデプロイの場合は必須です。 |
Marketplace シンジケーション Marketplace から Azure Stack Hub に項目をダウンロードし、Azure Stack Hub 環境を使用して、すべてのユーザーがそれらを利用できるようにすることができます。 |
Azurehttps://management.azure.com https://*.blob.core.windows.net https://*.azureedge.net Azure Government https://management.usgovcloudapi.net/ https://*.blob.core.usgovcloudapi.net/ Azure China 21Vianet https://management.chinacloudapi.cn/ http://*.blob.core.chinacloudapi.cn |
HTTPS 443 | パブリック VIP - /27 | 不要。 切断されたシナリオの指示に従って、Azure Stack Hub にイメージをアップロードします。 |
パッチと更新プログラム 更新エンドポイントに接続されている場合、Azure Stack Hub のソフトウェア更新プログラムと修正プログラムは、ダウンロード可能なものとして表示されます。 |
https://*.azureedge.net https://aka.ms/azurestackautomaticupdate |
HTTPS 443 | パブリック VIP - /27 | 不要。 切断されたデプロイの接続指示に従って、手動で更新プログラムをダウンロードして準備します。 |
登録 Azure Stack Hub を Azure に登録して、Azure Marketplace 項目をダウンロードしたり、Microsoft に報告を返すコマース データを設定したりできるようにします。 |
Azurehttps://management.azure.com Azure Government https://management.usgovcloudapi.net/ Azure China 21Vianet https://management.chinacloudapi.cn |
HTTPS 443 | パブリック VIP - /27 | 不要。 オフライン登録には、切断されたシナリオを使用できます。 |
使用方法 Azure Stack Hub オペレーターで、使用状況データを Azure に報告するように Azure Stack Hub インスタンスを構成できるようにします。 |
Azurehttps://*.trafficmanager.net https://*.cloudapp.azure.com Azure Government https://*.usgovtrafficmanager.net https://*.cloudapp.usgovcloudapi.net Azure China 21Vianet https://*.trafficmanager.cn https://*.cloudapp.chinacloudapi.cn |
HTTPS 443 | パブリック VIP - /27 | Azure Stack Hub 使用量ベースのライセンス モデルに必要です。 |
Windows Defender 更新リソース プロバイダーで、1 日に複数回、マルウェア対策の定義とエンジンの更新プログラムをダウンロードできるようにします。 |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com *.wd.microsoft.com *.update.microsoft.com *.download.microsoft.com https://secure.aadcdn.microsoftonline-p.com |
HTTPS 80、443 | パブリック VIP - /27 パブリック インフラストラクチャ ネットワーク |
不要。 切断されたシナリオを使用して、ウイルス対策の署名ファイルを更新できます。 |
NTP Azure Stack Hub がタイム サーバーに接続できるようにします。 |
(デプロイに提供される NTP サーバーの IP) | UDP 123 | パブリック VIP - /27 | 必須 |
DNS Azure Stack Hub が DNS サーバー フォワーダーに接続できるようにします。 |
(デプロイに提供される DNS サーバーの IP) | TCP & UDP 53 | パブリック VIP - /27 | 必須 |
SYSLOG Azure Stack Hub が監視またはセキュリティの目的で syslog メッセージを送信できるようにします。 |
(デプロイに提供される SYSLOG サーバーの IP) | TCP 6514、 UDP 514 |
パブリック VIP - /27 | 省略可能 |
CRL Azure Stack Hub が証明書を検証し、失効した証明書を確認できるようにします。 |
証明書上で CRL 配布ポイントの下にある URL | HTTP 80 | パブリック VIP - /27 | 必須 |
CRL Azure Stack Hub が証明書を検証し、失効した証明書を確認できるようにします。 |
http://crl.microsoft.com/pki/crl/products http://mscrl.microsoft.com/pki/mscorp http://www.microsoft.com/pki/certs http://www.microsoft.com/pki/mscorp http://www.microsoft.com/pkiops/crl http://www.microsoft.com/pkiops/certs |
HTTP 80 | パブリック VIP - /27 | 不要。 セキュリティのベスト プラクティスを強くお勧めします。 |
LDAP Azure Stack Hub がオンプレミスの Microsoft Active Directory と通信できるようにします。 |
Graph 統合のために用意されている Active Directory フォレスト | TCP & UDP 389 | パブリック VIP - /27 | AD FS を使用して Azure Stack Hub をデプロイする場合には必須。 |
LDAP SSL Azure Stack Hub がオンプレミスの Microsoft Active Directory と暗号化された通信を行えるようにします。 |
Graph 統合のために用意されている Active Directory フォレスト | TCP 636 | パブリック VIP - /27 | AD FS を使用して Azure Stack Hub をデプロイする場合には必須。 |
LDAP GC Azure Stack Hub が Microsoft Active グローバル カタログ サーバーと通信できるようにします。 |
Graph 統合のために用意されている Active Directory フォレスト | TCP 3268 | パブリック VIP - /27 | AD FS を使用して Azure Stack Hub をデプロイする場合には必須。 |
LDAP GC SSL Azure Stack Hub が Microsoft Active Directory グローバル カタログ サーバーと暗号化された通信を行えるようにします。 |
Graph 統合のために用意されている Active Directory フォレスト | TCP 3269 | パブリック VIP - /27 | AD FS を使用して Azure Stack Hub をデプロイする場合には必須。 |
AD FS Azure Stack Hub がオンプレミスの AD FS と通信できるようにします。 |
AD FS 統合のために用意されている AD FS メタデータ エンドポイント | TCP 443 | パブリック VIP - /27 | 省略可能。 AD FS クレーム プロバイダーの信頼は、メタデータ ファイルを使用して作成できます。 |
診断ログの収集 Azure Stack Hub がオペレーターによって事前にまたは手動で Microsoft サポートにログを送信できるようにします。 |
https://*.blob.core.windows.net https://azsdiagprdlocalwestus02.blob.core.windows.net https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | パブリック VIP - /27 | 不要。 ログはローカルに保存できます。 |
リモート サポート Microsoft サポート プロフェッショナルにデバイスへのリモート アクセス権を与え、制限のあるトラブルシューティングや修復作業をまかせます。サポート ケースが短期間で解決されます。 |
https://edgesupprd.trafficmanager.net https://edgesupprdwestusfrontend.westus2.cloudapp.azure.com https://edgesupprdwesteufrontend.westeurope.cloudapp.azure.com https://edgesupprdeastusfrontend.eastus.cloudapp.azure.com https://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.com https://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com *.servicebus.windows.net |
HTTPS 443 | パブリック VIP - /27 | 不要。 |
テレメトリ Azure Stack Hub がテレメトリ データを Microsoft に送信できるようにします。 |
https://settings-win.data.microsoft.com https://login.live.com *.events.data.microsoft.com バージョン 2108 以降、次のエンドポイントも必要になります。 https://*.blob.core.windows.net/ https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/ |
HTTPS 443 | パブリック VIP - /27 | Azure Stack Hub テレメトリが有効の場合は必須です。 |
送信 URL は Azure Traffic Manager を使用して負荷分散され、地理的な場所に基づいて可能な限り最適な接続が提供されます。 URL を負荷分散することで、Microsoft は、顧客に影響を与えることなくバックエンド エンドポイントを更新および変更することができます。 Microsoft では、負荷分散される URL の IP アドレスのリストを共有していません。 IP ではなく URL によるフィルター処理をサポートするデバイスを使用してください。
送信 DNS は常に必要です。違っているのは、外部 DNS のクエリを実行しているソースと、選択された ID 統合の種類です。 接続されたシナリオの場合は、デプロイ時には BMC ネットワーク上に配置された DVM で送信アクセスが必要です。 しかし、デプロイ後は、DNS サービスはパブリック VIP を使用してクエリを送信する内部コンポーネントに移動します。 その時点で、BMC ネットワーク経由での送信 DNS アクセスは削除できますが、その DNS サーバーへのパブリック VIP アクセスは残しておく必要があり、そうしないと認証は失敗します。