Wymagania systemowe usługi Azure Data Box Gateway
W tym artykule opisano ważne wymagania systemowe dotyczące rozwiązania Microsoft Azure Data Box Gateway oraz klientów łączących się z usługą Azure Data Box Gateway. Zalecamy dokładne przejrzenie informacji przed wdrożeniem usługi Data Box Gateway, a następnie odwoływanie się do niej w razie potrzeby podczas wdrażania i kolejnej operacji.
Wymagania systemowe dotyczące urządzenia wirtualnego usługi Data Box Gateway obejmują:
- Wymagania dotyczące oprogramowania dla hostów — opisuje obsługiwane platformy, przeglądarki dla lokalnego interfejsu użytkownika konfiguracji, klientów SMB i wszelkie dodatkowe wymagania dotyczące hostów łączących się z urządzeniem.
- Wymagania dotyczące sieci dla urządzenia — zawiera informacje o wszelkich wymaganiach sieciowych dotyczących działania urządzenia wirtualnego.
Specyfikacje dotyczące urządzenia wirtualnego
Podstawowy system hosta dla usługi Data Box Gateway może przeznaczyć następujące zasoby na potrzeby aprowizowania urządzenia wirtualnego:
| Specyfikacje | opis |
|---|---|
| Procesory wirtualne (rdzenie) | Minimum 4 |
| Pamięć | Minimum 8 GB. Zdecydowanie zalecamy co najmniej 16 GB. |
| Dostępność | Jeden węzeł |
| Dyski | Dysk systemu operacyjnego: 250 GB Dysk danych: minimum 2 TB, alokowany elastycznie, wymagane dyski SSD |
| Interfejsy sieciowe | Co najmniej 1 wirtualny interfejs sieciowy |
Obsługiwany system operacyjny dla klientów połączonych z urządzeniem
Poniższa lista zawiera obsługiwane systemy operacyjne do użycia przez klientów lub hostów połączonych z urządzeniem. Te wersje systemu operacyjnego zostały przetestowane w firmie.
| System operacyjny/platforma | Wersje |
|---|---|
| Windows Server | 2012 R2 2016 2019 |
| Windows | 8, 10 |
| SUSE Linux | Enterprise Server 12 (x86_64) |
| Ubuntu | 16.04.3 LTS |
| CentOS | 7.0 |
| Mac OS | 10.14.1 |
Obsługiwane protokoły dla klientów korzystających z urządzenia
Oto obsługiwane protokoły dla klientów, którzy uzyskują dostęp do urządzenia.
| Protokół | Wersje | Uwagi |
|---|---|---|
| SMB | 2.X, 3.X | Protokół SMB 1 nie jest obsługiwany. |
| NFS | 3.0, 4.1 | System Mac OS nie jest obsługiwany w systemie plików NFS w wersji 4.1. |
Obsługiwane platformy wirtualizacji dla urządzeń
| System operacyjny/platforma | Wersje | Uwagi |
|---|---|---|
| Hyper-V | 2012 R2 2016 2019 |
|
| VMware ESXi | 6.7 7.0 8.0 |
Narzędzia VMware nie są obsługiwane. |
Obsługiwane konta magazynu
Poniżej znajduje się lista obsługiwanych kont magazynu dla urządzenia.
| Konto magazynu | Uwagi |
|---|---|
| Klasyczny | Standardowa |
| Ogólnego przeznaczenia | Standardowe; obsługiwane są wersje V1 i V2. Obsługiwane są warstwy Gorąca i Chłodna. |
Obsługiwane typy magazynu
Oto lista obsługiwanych typów magazynu dla urządzenia.
| Format pliku | Uwagi |
|---|---|
| Blokowy obiekt blob platformy Azure | |
| Stronicowy obiekt blob platformy Azure | |
| Azure Files |
Obsługiwane przeglądarki dla lokalnego internetowego interfejsu użytkownika
Poniższa lista przeglądarek jest obsługiwana dla lokalnego internetowego interfejsu użytkownika urządzenia wirtualnego:
| Przeglądarka | Wersje | Dodatkowe wymagania/uwagi |
|---|---|---|
| Google Chrome | Najnowsza wersja | |
| Microsoft Edge | Najnowsza wersja | |
| Internet Explorer | Najnowsza wersja | Jeśli włączono funkcje zwiększonych zabezpieczeń, dostęp do lokalnych stron internetowego interfejsu użytkownika może być niedostępny. Wyłącz zwiększone zabezpieczenia i uruchom ponownie przeglądarkę. |
| FireFox | Najnowsza wersja |
Wymagania dotyczące portów sieciowych
W poniższej tabeli wymieniono porty, które należy otworzyć w zaporze, aby umożliwić ruch SMB, chmury lub zarządzania. W tej tabeli ruch przychodzący lub przychodzący odnosi się do kierunku, z którego przychodzący klient żąda dostępu do urządzenia. Ruch wychodzący lub wychodzący odnosi się do kierunku, w którym urządzenie Data Box Gateway wysyła dane zewnętrznie, poza wdrożeniem: na przykład ruch wychodzący do Internetu.
| Numer portu. | W lub na wyjęcie | Zakres portów | Wymagania | Uwagi |
|---|---|---|---|---|
| TCP 80 (HTTP) | Out | Sieć WAN | Nie. | Port wychodzący jest używany do uzyskiwania dostępu do Internetu w celu pobierania aktualizacji. Wychodzący internetowy serwer proxy jest konfigurowalny przez użytkownika. |
| TCP 443 (HTTPS) | Out | Sieć WAN | Tak | Port wychodzący służy do uzyskiwania dostępu do danych w chmurze. Wychodzący internetowy serwer proxy jest konfigurowalny przez użytkownika. |
| UDP 123 (NTP) | Out | Sieć WAN | W niektórych przypadkach Zobacz uwagi |
Ten port jest wymagany tylko wtedy, gdy używasz internetowego serwera NTP. |
| UDP 53 (DNS) | Out | Sieć WAN | W niektórych przypadkach Zobacz uwagi |
Ten port jest wymagany tylko wtedy, gdy używasz internetowego serwera DNS. Zalecamy używanie lokalnego serwera DNS. |
| TCP 5985 (WinRM) | Wyjście/w | Sieć LAN | W niektórych przypadkach Zobacz uwagi |
Ten port jest wymagany do nawiązania połączenia z urządzeniem za pośrednictwem zdalnego programu PowerShell za pośrednictwem protokołu HTTP. |
| TCP 5986 (WinRM) | Wyjście/w | Sieć LAN | W niektórych przypadkach Zobacz uwagi |
Ten port jest wymagany do nawiązania połączenia z urządzeniem za pośrednictwem zdalnego programu PowerShell za pośrednictwem protokołu HTTPS. |
| UDP 67 (DHCP) | Out | Sieć LAN | W niektórych przypadkach Zobacz uwagi |
Ten port jest wymagany tylko wtedy, gdy używasz lokalnego serwera DHCP. |
| TCP 80 (HTTP) | Wyjście/w | Sieć LAN | Tak | Ten port jest portem wejściowym lokalnego interfejsu użytkownika na urządzeniu do zarządzania lokalnego. Uzyskiwanie dostępu do lokalnego interfejsu użytkownika za pośrednictwem protokołu HTTP spowoduje automatyczne przekierowanie do protokołu HTTPS. |
| TCP 443 (HTTPS) | Wyjście/w | Sieć LAN | Tak | Ten port jest portem wejściowym lokalnego interfejsu użytkownika na urządzeniu do zarządzania lokalnego. |
| TCP 445 (SMB) | W | Sieć LAN | W niektórych przypadkach Zobacz uwagi |
Ten port jest wymagany tylko wtedy, gdy łączysz się za pośrednictwem protokołu SMB. |
| TCP 2049 (NFS) | W | Sieć LAN | W niektórych przypadkach Zobacz uwagi |
Ten port jest wymagany tylko wtedy, gdy łączysz się za pośrednictwem systemu plików NFS. |
Wzorce adresów URL dla reguł zapory
Administratorzy sieci często mogą konfigurować zaawansowane reguły zapory na podstawie wzorców adresów URL w celu filtrowania ruchu przychodzącego i wychodzącego. Urządzenie Data Box Gateway i usługa Data Box Gateway zależą od innych aplikacji firmy Microsoft, takich jak Azure Service Bus, Microsoft Entra Access Control, konta magazynu i serwery Microsoft Update. Wzorce adresów URL skojarzone z tymi aplikacjami mogą służyć do konfigurowania reguł zapory. Ważne jest, aby zrozumieć, że wzorce adresów URL skojarzone z tymi aplikacjami mogą ulec zmianie. To z kolei będzie wymagać od administratora sieci monitorowania i aktualizowania reguł zapory dla usługi Data Box Gateway zgodnie z potrzebami i w razie potrzeby.
Zalecamy ustawienie reguł zapory dla ruchu wychodzącego na podstawie stałych adresów IP usługi Data Box Gateway w większości przypadków. Możesz jednak użyć poniższych informacji, aby ustawić zaawansowane reguły zapory potrzebne do tworzenia bezpiecznych środowisk.
Uwaga
- Adresy IP urządzeń (źródłowych) powinny być zawsze ustawione na wszystkie interfejsy sieciowe z obsługą chmury.
- Docelowe adresy IP powinny być ustawione na zakresy adresów IP centrum danych platformy Azure.
| Wzorzec adresu URL | Składnik lub funkcjonalność |
|---|---|
| https://*.databoxedge.azure.com/* https://*.servicebus.windows.net/* https://login.windows.net |
Usługa Azure Stack Edge/Data Box Gateway Azure Service Bus Usługa uwierzytelniania |
| http://*.backup.windowsazure.com | Aktywacja urządzenia |
| http://crl.microsoft.com/pki/* http://www.microsoft.com/pki/* |
Odwołanie certyfikatu |
| https://*.core.windows.net/* https://*.data.microsoft.com http://*.msftncsi.com |
Konta usługi Azure Storage i monitorowanie |
| http://windowsupdate.microsoft.com http://*.windowsupdate.microsoft.com https://*.windowsupdate.microsoft.com http://*.update.microsoft.com https://*.update.microsoft.com http://*.windowsupdate.com http://download.microsoft.com http://*.download.windowsupdate.com http://wustat.windows.com http://ntservicepack.microsoft.com http://go.microsoft.com http://dl.delivery.mp.microsoft.com https://dl.delivery.mp.microsoft.com http://*.ws.microsoft.com https://*.ws.microsoft.com http://*.mp.microsoft.com |
Serwery usługi Microsoft Update |
| http://*.deploy.akamaitechnologies.com | Akamai CDN |
| https://*.partners.extranet.microsoft.com/* | Pakiet dla pomocy technicznej |
| http://*.data.microsoft.com | Usługa telemetrii w systemie Windows— zobacz aktualizację środowiska klienta i telemetrię diagnostyczną |
| https://(nazwa magazynu).vault.azure.net:443 | Key Vault |
Wzorce adresów URL dla platformy Azure Government
| Wzorzec adresu URL | Składnik lub funkcjonalność |
|---|---|
| https://*.databoxedge.azure.us/* https://*.servicebus.usgovcloudapi.net/* https://login.microsoftonline.us |
Usługa Azure Stack Edge/Data Box Gateway Azure Service Bus Usługa uwierzytelniania |
| http://*.backup.windowsazure.us | Aktywacja urządzenia |
| http://crl.microsoft.com/pki/* http://www.microsoft.com/pki/* |
Odwołanie certyfikatu |
| https://*.core.usgovcloudapi.net/* https://*.data.microsoft.com http://*.msftncsi.com |
Konta usługi Azure Storage i monitorowanie |
| http://windowsupdate.microsoft.com http://*.windowsupdate.microsoft.com https://*.windowsupdate.microsoft.com http://*.update.microsoft.com https://*.update.microsoft.com http://*.windowsupdate.com http://download.microsoft.com http://*.download.windowsupdate.com http://wustat.windows.com http://ntservicepack.microsoft.com http://*.ws.microsoft.com https://*.ws.microsoft.com http://*.mp.microsoft.com |
Serwery usługi Microsoft Update |
| http://*.deploy.akamaitechnologies.com | Akamai CDN |
| https://*.partners.extranet.microsoft.com/* | Pakiet dla pomocy technicznej |
| http://*.data.microsoft.com | Usługa telemetrii w systemie Windows— zobacz aktualizację środowiska klienta i telemetrię diagnostyczną |
Przepustowość internetu
Urządzenia są zaprojektowane tak, aby nadal działały, gdy połączenie internetowe działa wolno lub zostaje przerwane. W normalnych warunkach operacyjnych zalecamy użycie następujących elementów:
- Przepustowość pobierania wynosząca co najmniej 10 Mb/s w celu zapewnienia, że urządzenie zostanie zaktualizowane.
- Co najmniej 20 Mb/s dedykowanego przekazywania i pobierania przepustowości do transferu plików.