Azure Stack Hub-services publiceren in uw datacenter
Azure Stack Hub stelt virtuele IP-adressen (VIP's) in voor de infrastructuurrollen. Deze VIP's worden toegewezen vanuit de openbare IP-adresgroep. Elk VIP wordt beveiligd met een toegangsbeheerlijst (ACL) in de software-gedefinieerde netwerklaag. ACL's worden ook gebruikt voor de fysieke switches (TORs en BMC) om de oplossing verder te beveiligen. Er wordt een DNS-vermelding gemaakt voor elk eindpunt in de externe DNS-zone die tijdens de implementatie is opgegeven. Aan de gebruikersportal wordt bijvoorbeeld de DNS-hostvermelding van de portal toegewezen.<regio>.<fqdn>.
In het volgende architectuurdiagram ziet u de verschillende netwerklagen en ACL's:
Poorten en URL's
Als u Azure Stack Hub-services (zoals de portals, Azure Resource Manager, DNS, enzovoort) beschikbaar wilt maken voor externe netwerken, moet u binnenkomend verkeer naar deze eindpunten toestaan voor specifieke URL's, poorten en protocollen.
In een implementatie waarbij een transparante proxy uplinks naar een traditionele proxyserver of een firewall de oplossing beveiligt, moet u specifieke poorten en URL's toestaan voor zowel binnenkomende als uitgaande communicatie. Dit zijn poorten en URL's voor identiteit, marketplace, patch en update, registratie en gebruiksgegevens.
Het onderscheppen van SSL-verkeer wordt niet ondersteund en kan leiden tot servicefouten bij het openen van eindpunten.
Poorten en protocollen (inkomend)
Er is een set infrastructuur-VIP's vereist voor het publiceren van Azure Stack Hub-eindpunten naar externe netwerken. In de tabel Eindpunt (VIP) ziet u elk eindpunt, de vereiste poort en het vereiste protocol. Raadpleeg de documentatie voor de implementatie van specifieke resourceproviders voor eindpunten waarvoor extra resourceproviders zijn vereist, zoals de SQL-resourceprovider.
VIP's voor interne infrastructuur worden niet vermeld omdat ze niet vereist zijn voor het publiceren van Azure Stack Hub. VIP's van gebruikers zijn dynamisch en gedefinieerd door de gebruikers zelf, zonder controle door de Azure Stack Hub-operator.
Bij toevoeging van de Extensiehost zijn poorten in het bereik van 12495-30015 niet vereist.
| Eindpunt (VIP) | DNS-host A-record | Protocol | Poorten |
|---|---|---|---|
| AD FS | Adfs.<regio>.<Fqdn> | HTTPS | 443 |
| Portal (beheerder) | Adminportal.<regio>.<Fqdn> | HTTPS | 443 |
| Adminhosting | *.adminhosting.<regio>.<Fqdn> | HTTPS | 443 |
| Azure Resource Manager (beheerder) | Beheerbeheer.<regio>.<Fqdn> | HTTPS | 443 |
| Portal (gebruiker) | Portaal.<regio>.<Fqdn> | HTTPS | 443 |
| Azure Resource Manager (gebruiker) | Beheer.<regio>.<Fqdn> | HTTPS | 443 |
| Grafiek | Grafiek.<regio>.<Fqdn> | HTTPS | 443 |
| Certificaatintrekkingslijst | Crl.<regio>.<Fqdn> | HTTP | 80 |
| DNS | *.<regio>.<Fqdn> | TCP & UDP | 53 |
| Hosting | *.gastvrijheid.<regio>.<Fqdn> | HTTPS | 443 |
| Key Vault (gebruiker) | *.gewelf.<regio>.<Fqdn> | HTTPS | 443 |
| Key Vault (beheerder) | *.adminvault.<regio>.<Fqdn> | HTTPS | 443 |
| Opslagwachtrij | *.rij.<regio>.<Fqdn> | HTTP HTTPS |
80 443 |
| Opslagtabel | *.tafel.<regio>.<Fqdn> | HTTP HTTPS |
80 443 |
| Storage Blob | *.Blob.<regio>.<Fqdn> | HTTP HTTPS |
80 443 |
| SQL-resourceprovider | sqladapter.dbadapter.<regio>.<Fqdn> | HTTPS | 44300-44304 |
| MySQL-resourceprovider | mysqladapter.dbadapter.<regio>.<Fqdn> | HTTPS | 44300-44304 |
| App Service | *.appservice.<regio>.<Fqdn> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
| *.scm.appservice.<regio>.<Fqdn> | TCP | 443 (HTTPS) | |
| api.appservice.<regio>.<Fqdn> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
| ftp.appservice.<regio>.<Fqdn> | TCP, UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
| VPN-gateways | IP Protocol 50 & UDP | Encapsulation Security Payload (ESP) IPSec & UDP 500 en 4500 |
Poorten en URL's (uitgaand)
Azure Stack Hub ondersteunt alleen transparante proxyservers. In een implementatie met een transparante proxy-uplink naar een traditionele proxyserver moet u de poorten en URL's in de volgende tabel toestaan voor uitgaande communicatie. Zie Transparante proxy voor Azure Stack Hub voor meer informatie over het configureren van transparante proxyservers.
Het onderscheppen van SSL-verkeer wordt niet ondersteund en kan leiden tot servicefouten bij het openen van eindpunten. De maximaal ondersteunde time-out voor communicatie met eindpunten die vereist zijn voor identiteit is 60.
Notitie
Azure Stack Hub biedt geen ondersteuning voor het gebruik van ExpressRoute om de Azure-services te bereiken die worden vermeld in de volgende tabel, omdat ExpressRoute mogelijk geen verkeer naar alle eindpunten kan routeren.
| Doel | Doel-URL | Protocol/poorten | Bronnetwerk | Vereiste |
|---|---|---|---|---|
| Identiteit Hiermee kan Azure Stack Hub verbinding maken met Microsoft Entra ID voor gebruikers- en serviceverificatie. |
Azurelogin.windows.netlogin.microsoftonline.comgraph.windows.nethttps://secure.aadcdn.microsoftonline-p.comwww.office.comManagementServiceUri = https://management.core.windows.netARMURI = https://management.azure.comhttps://*.msftauth.nethttps://*.msauth.nethttps://*.msocdn.comAzure Government https://login.microsoftonline.us/https://graph.windows.net/Azure China 21Vianet https://login.chinacloudapi.cn/https://graph.chinacloudapi.cn/Azure Duitsland https://login.microsoftonline.de/https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
Openbare VIP - /27 Netwerk van openbare infrastructuur |
Verplicht voor een verbonden implementatie. |
| Marketplace-syndicatie Hiermee kunt u items downloaden naar Azure Stack Hub vanuit Marketplace en deze beschikbaar maken voor alle gebruikers met behulp van de Azure Stack Hub-omgeving. |
Azurehttps://management.azure.comhttps://*.blob.core.windows.nethttps://*.azureedge.netAzure Government https://management.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn/http://*.blob.core.chinacloudapi.cn |
HTTPS 443 | Openbare VIP - /27 | Niet vereist. Gebruik de instructies voor het niet-verbonden scenario om installatiekopieën te uploaden naar Azure Stack Hub. |
| Patch en update Wanneer u verbinding hebt met update-eindpunten, worden software-updates en hotfixes van Azure Stack Hub weergegeven als beschikbaar voor downloaden. |
https://*.azureedge.nethttps://aka.ms/azurestackautomaticupdate |
HTTPS 443 | Openbare VIP - /27 | Niet vereist. Gebruik de instructies voor de verbinding met de niet-verbonden implementatie om de update handmatig te downloaden en voor te bereiden. |
| Registratie Hiermee kunt u Azure Stack Hub registreren bij Azure om Azure Marketplace-items te downloaden en commercegegevensrapportage terug te zetten naar Microsoft. |
Azurehttps://management.azure.comAzure Government https://management.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn |
HTTPS 443 | Openbare VIP - /27 | Niet vereist. U kunt het niet-verbonden scenario gebruiken voor offlineregistratie. |
| Gebruik Hiermee kunnen Azure Stack Hub-operators hun Azure Stack Hub-exemplaar configureren om gebruiksgegevens naar Azure te rapporteren. |
Azurehttps://*.trafficmanager.nethttps://*.cloudapp.azure.comAzure Government https://*.usgovtrafficmanager.nethttps://*.cloudapp.usgovcloudapi.netAzure China 21Vianet https://*.trafficmanager.cnhttps://*.cloudapp.chinacloudapi.cn |
HTTPS 443 | Openbare VIP - /27 | Vereist voor het licentiemodel op basis van azure Stack Hub-verbruik. |
| Windows Defender Hiermee kan de updateresourceprovider antimalwaredefinities en engine-updates meerdere keren per dag downloaden. |
*.wdcp.microsoft.com*.wdcpalt.microsoft.com*.wd.microsoft.com*.update.microsoft.com*.download.microsoft.comhttps://secure.aadcdn.microsoftonline-p.com |
HTTPS 80, 443 | Openbare VIP - /27 Netwerk van openbare infrastructuur |
Niet vereist. U kunt het niet-verbonden scenario gebruiken om antivirushandtekeningbestanden bij te werken. |
| NTP Hiermee kan Azure Stack Hub verbinding maken met tijdservers. |
(IP van NTP-server die is opgegeven voor implementatie) | UDP 123 | Openbare VIP - /27 | Vereist |
| DNS Hiermee kan Azure Stack Hub verbinding maken met de DNS-server-doorstuurserver. |
(IP van de DNS-server die is opgegeven voor implementatie) | TCP & UDP 53 | Openbare VIP - /27 | Vereist |
| SYSLOG Hiermee kan Azure Stack Hub syslog-berichten verzenden voor bewakings- of beveiligingsdoeleinden. |
(IP van de SYSLOG-server die is opgegeven voor implementatie) | TCP 6514, UDP 514 |
Openbare VIP - /27 | Optioneel |
| CRL Hiermee kan Azure Stack Hub certificaten valideren en controleren op ingetrokken certificaten. |
URL onder CRL-distributiepunten op uw certificaten | HTTP 80 | Openbare VIP - /27 | Vereist |
| CRL Hiermee kan Azure Stack Hub certificaten valideren en controleren op ingetrokken certificaten. |
http://crl.microsoft.com/pki/crl/productshttp://mscrl.microsoft.com/pki/mscorphttp://www.microsoft.com/pki/certshttp://www.microsoft.com/pki/mscorphttp://www.microsoft.com/pkiops/crlhttp://www.microsoft.com/pkiops/certs |
HTTP 80 | Openbare VIP - /27 | Niet vereist. Aanbevolen beveiligingsprocedures. |
| LDAP Hiermee kan Azure Stack Hub on-premises communiceren met Microsoft Active Directory. |
Active Directory-forest dat is opgegeven voor Graph-integratie | TCP & UDP 389 | Openbare VIP - /27 | Vereist wanneer Azure Stack Hub wordt geïmplementeerd met AD FS. |
| LDAP SSL Hiermee kan Azure Stack Hub on-premises communiceren met Microsoft Active Directory. |
Active Directory-forest dat is opgegeven voor Graph-integratie | TCP 636 | Openbare VIP - /27 | Vereist wanneer Azure Stack Hub wordt geïmplementeerd met AD FS. |
| LDAP-GC Hiermee kan Azure Stack Hub communiceren met Microsoft Active Global Catalog-servers. |
Active Directory-forest dat is opgegeven voor Graph-integratie | TCP 3268 | Openbare VIP - /27 | Vereist wanneer Azure Stack Hub wordt geïmplementeerd met AD FS. |
| LDAP GC SSL Hiermee kan Azure Stack Hub versleuteld communiceren met globale catalogusservers van Microsoft Active Directory. |
Active Directory-forest dat is opgegeven voor Graph-integratie | TCP 3269 | Openbare VIP - /27 | Vereist wanneer Azure Stack Hub wordt geïmplementeerd met AD FS. |
| AD FS Hiermee kan Azure Stack Hub communiceren met on-premises AD FS. |
AD FS-metagegevenseindpunt opgegeven voor AD FS-integratie | TCP 443 | Openbare VIP - /27 | Optioneel. De vertrouwensrelatie van de AD FS-claimprovider kan worden gemaakt met behulp van een metagegevensbestand. |
| Verzameling diagnostische logboeken Hiermee kan Azure Stack Hub logboeken proactief of handmatig verzenden door een operator naar Microsoft-ondersteuning. |
https://*.blob.core.windows.nethttps://azsdiagprdlocalwestus02.blob.core.windows.nethttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.comhttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | Openbare VIP - /27 | Niet vereist. U kunt logboeken lokaal opslaan. |
| Externe ondersteuning Hiermee kunnen Microsoft-ondersteuningsmedewerkers sneller ondersteuningsaanvragen oplossen door op afstand toegang te verlenen tot het apparaat om beperkte probleemoplossings- en herstelbewerkingen uit te voeren. |
https://edgesupprd.trafficmanager.nethttps://edgesupprdwestusfrontend.westus2.cloudapp.azure.comhttps://edgesupprdwesteufrontend.westeurope.cloudapp.azure.comhttps://edgesupprdeastusfrontend.eastus.cloudapp.azure.comhttps://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.comhttps://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com*.servicebus.windows.net |
HTTPS 443 | Openbare VIP - /27 | Niet vereist. |
| Telemetrie Hiermee kan Azure Stack Hub telemetriegegevens verzenden naar Microsoft. |
https://settings-win.data.microsoft.comhttps://login.live.com*.events.data.microsoft.comVanaf versie 2108 zijn ook de volgende eindpunten vereist: https://*.blob.core.windows.net/https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/ |
HTTPS 443 | Openbare VIP - /27 | Vereist wanneer telemetrie van Azure Stack Hub is ingeschakeld. |
Uitgaande URL's zijn taakverdeling met behulp van Azure Traffic Manager om de best mogelijke connectiviteit te bieden op basis van geografische locatie. Met URL's met gelijke taakverdeling kan Microsoft back-endeindpunten bijwerken en wijzigen zonder dat dit van invloed is op klanten. Microsoft deelt de lijst met IP-adressen voor de URL's met gelijke taakverdeling niet. Gebruik een apparaat dat ondersteuning biedt voor filteren op URL in plaats van op IP.
Uitgaande DNS is altijd vereist; wat varieert, is de bron die een query uitvoert op de externe DNS en welk type identiteitsintegratie is gekozen. Tijdens de implementatie voor een verbonden scenario heeft de DVM die zich op het BMC-netwerk bevindt uitgaande toegang nodig. Maar na de implementatie wordt de DNS-service verplaatst naar een intern onderdeel dat query's verzendt via een openbaar VIP. Op dat moment kan de uitgaande DNS-toegang via het BMC-netwerk worden verwijderd, maar de openbare VIP-toegang tot die DNS-server moet blijven bestaan of anders mislukt de verificatie.