Publicar serviços do Azure Stack Hub em seu datacenter
O Azure Stack Hub configura VIPs (endereços IP virtuais) para suas funções de infraestrutura. Esses VIPs são alocados do pool de endereços IP públicos. Cada VIP é protegido com uma lista de controle de acesso (ACL) na camada de rede definida pelo software. As ACLs também são usadas nos switches físicos (TORs e BMC) para fortalecer ainda mais a solução. Uma entrada DNS é criada para cada ponto de extremidade na zona DNS externa especificada no momento da implantação. Por exemplo, o portal do usuário recebe a entrada de host DNS do portal.<região>.<fqdn>.
O diagrama de arquitetura a seguir mostra as diferentes camadas de rede e ACLs:
Portas e URLs
Para disponibilizar os serviços do Azure Stack Hub (como os portais, o Azure Resource Manager, o DNS e assim por diante) para redes externas, você deve permitir o tráfego de entrada para esses pontos de extremidade para URLs, portas e protocolos específicos.
Em uma implantação em que um proxy transparente faz uplinks para um servidor proxy tradicional ou um firewall está protegendo a solução, você deve permitir portas e URLs específicas para comunicação de entrada e saída . Isso inclui portas e URLs para identidade, marketplace, patch e atualização, registro e dados de uso.
A interceptação de tráfego SSL não é suportada e pode levar a falhas de serviço ao acessar endpoints.
Portas e protocolos (entrada)
Um conjunto de VIPs de infraestrutura é necessário para publicar pontos de extremidade do Azure Stack Hub em redes externas. A tabela VIP (Ponto de extremidade) mostra cada ponto de extremidade, a porta necessária e o protocolo. Consulte a documentação de implantação do provedor de recursos específico para pontos de extremidade que exigem provedores de recursos adicionais, como o provedor de recursos SQL.
Os VIPs de infraestrutura interna não são listados porque não são necessários para publicar o Azure Stack Hub. Os VIPs de usuário são dinâmicos e definidos pelos próprios usuários, sem controle do operador do Azure Stack Hub.
Com a adição do Host de Extensão, as portas no intervalo de 12495-30015 não são necessárias.
| Ponto de extremidade (VIP) | Host DNS Um registro | Protocolo | Portas |
|---|---|---|---|
| AD FS | Adfs.<região>.<Fqdn> | HTTPS | 443 |
| Portal (administrador) | Adminportal.<região>.<Fqdn> | HTTPS | 443 |
| Adminhosting | *.adminhosting.<região>.<Fqdn> | HTTPS | 443 |
| Azure Resource Manager (administrador) | Administração.<região>.<Fqdn> | HTTPS | 443 |
| Portal (usuário) | Portal.<region>.<fqdn> | HTTPS | 443 |
| Azure Resource Manager (usuário) | Gestão.<região>.<Fqdn> | HTTPS | 443 |
| Gráfico | Gráfico.<região>.<Fqdn> | HTTPS | 443 |
| Lista de revogação de certificados | Crl.<região>.<Fqdn> | HTTP | 80 |
| DNS | *.<região>.<Fqdn> | TCP e UDP | 53 |
| Hosting | *.hospedagem.<região>.<Fqdn> | HTTPS | 443 |
| Key Vault (usuário) | *.abóbada.<região>.<Fqdn> | HTTPS | 443 |
| Key Vault (administrador) | *.adminvault.<região>.<Fqdn> | HTTPS | 443 |
| Fila de Armazenamento | *.fila.<região>.<Fqdn> | HTTP HTTPS |
80 443 |
| Tabela de Armazenamento | *.mesa.<região>.<Fqdn> | HTTP HTTPS |
80 443 |
| Blob de Armazenamento | *.BLOB.<região>.<Fqdn> | HTTP HTTPS |
80 443 |
| Provedor de recursos do SQL | sqladapter.dbadapter.<região>.<Fqdn> | HTTPS | 44300-44304 |
| Provedor de Recursos do MySQL | mysqladapter.dbadapter.<região>.<Fqdn> | HTTPS | 44300-44304 |
| Serviço de Aplicativo | *.appservice.<região>.<Fqdn> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
| *.scm.appservice.<região>.<Fqdn> | TCP | 443 (HTTPS) | |
| api.appservice.<região>.<Fqdn> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
| ftp.appservice.<região>.<Fqdn> | TCP, UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
| Gateways VPN | Protocolo IP 50 e UDP | Encapsulamento Security Payload (ESP) IPSec e UDP 500 e 4500 |
Portas e URLs (saída)
O Azure Stack Hub dá suporte apenas a servidores proxy transparentes. Em uma implantação com um uplink de proxy transparente para um servidor proxy tradicional, você deve permitir as portas e URLs na tabela a seguir para comunicação de saída. Para obter mais informações sobre como configurar servidores proxy transparentes, consulte Proxy transparente para Azure Stack Hub.
A interceptação de tráfego SSL não é suportada e pode levar a falhas de serviço ao acessar endpoints. O tempo limite máximo suportado para se comunicar com pontos de extremidade necessários para identidade é de 60s.
Observação
O Azure Stack Hub não dá suporte ao uso do ExpressRoute para acessar os serviços do Azure listados na tabela a seguir porque o ExpressRoute pode não ser capaz de rotear o tráfego para todos os pontos de extremidade.
| Finalidade | URL de destino | Protocolo / Portas | Rede de Origem | Requisito |
|---|---|---|---|---|
| Identidade Permite que o Azure Stack Hub se conecte à ID do Microsoft Entra para autenticação de usuário e serviço. |
Azurelogin.windows.netlogin.microsoftonline.comgraph.windows.nethttps://secure.aadcdn.microsoftonline-p.comwww.office.comManagementServiceUri = https://management.core.windows.netARMUri = https://management.azure.comhttps://*.msftauth.nethttps://*.msauth.nethttps://*.msocdn.comAzure Governamental https://login.microsoftonline.us/https://graph.windows.net/Azure China 21Vianet https://login.chinacloudapi.cn/https://graph.chinacloudapi.cn/Azure Alemanha https://login.microsoftonline.de/https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
VIP público - /27 Rede de infraestrutura pública |
Obrigatório para uma implantação conectada. |
| Distribuição do Marketplace Permite que você baixe itens para o Azure Stack Hub do Marketplace e disponibilize-os para todos os usuários usando o ambiente do Azure Stack Hub. |
Azurehttps://management.azure.comhttps://*.blob.core.windows.nethttps://*.azureedge.netAzure Governamental https://management.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn/http://*.blob.core.chinacloudapi.cn |
HTTPS 443 | VIP público - /27 | Não necessário. Use as instruções do cenário desconectado para carregar imagens no Azure Stack Hub. |
| Patch & Atualização Quando conectado a pontos de extremidade de atualização, as atualizações de software e hotfixes do Azure Stack Hub são exibidos como disponíveis para download. |
https://*.azureedge.nethttps://aka.ms/azurestackautomaticupdate |
HTTPS 443 | VIP público - /27 | Não necessário. Use as instruções de conexão de implantação desconectada para baixar e preparar manualmente a atualização. |
| Registro Permite que você registre o Azure Stack Hub no Azure para baixar itens do Azure Marketplace e configurar relatórios de dados de comércio de volta para a Microsoft. |
Azurehttps://management.azure.comAzure Governamental https://management.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn |
HTTPS 443 | VIP público - /27 | Não necessário. Você pode usar o cenário desconectado para registro offline. |
| Uso Permite que os operadores do Azure Stack Hub configurem sua instância do Azure Stack Hub para relatar dados de uso ao Azure. |
Azurehttps://*.trafficmanager.nethttps://*.cloudapp.azure.comAzure Governamental https://*.usgovtrafficmanager.nethttps://*.cloudapp.usgovcloudapi.netAzure China 21Vianet https://*.trafficmanager.cnhttps://*.cloudapp.chinacloudapi.cn |
HTTPS 443 | VIP público - /27 | Necessário para o modelo de licenciamento baseado em consumo do Azure Stack Hub. |
| Windows Defender Permite que o provedor de recursos de atualização baixe definições antimalware e atualizações de mecanismo várias vezes por dia. |
*.wdcp.microsoft.com*.wdcpalt.microsoft.com*.wd.microsoft.com*.update.microsoft.com*.download.microsoft.comhttps://secure.aadcdn.microsoftonline-p.com |
HTTPS 80, 443 | VIP público - /27 Rede de infraestrutura pública |
Não necessário. Você pode usar o cenário desconectado para atualizar arquivos de assinatura antivírus. |
| NTP Permite que o Azure Stack Hub se conecte a servidores de horário. |
(IP do servidor NTP fornecido para implantação) | UDP 123 | VIP público - /27 | Obrigatório |
| DNS Permite que o Azure Stack Hub se conecte ao encaminhador do servidor DNS. |
(IP do servidor DNS fornecido para implantação) | TCP & UDP 53 | VIP público - /27 | Obrigatório |
| SYSLOG Permite que o Azure Stack Hub envie mensagens de syslog para fins de monitoramento ou segurança. |
(IP do servidor SYSLOG fornecido para implantação) | TCP 6514, UDP 514 |
VIP público - /27 | Opcional |
| CRL Permite que o Azure Stack Hub valide certificados e verifique se há certificados revogados. |
URL em Pontos de Distribuição de CRL em seus certificados | HTTP 80 | VIP público - /27 | Obrigatório |
| CRL Permite que o Azure Stack Hub valide certificados e verifique se há certificados revogados. |
http://crl.microsoft.com/pki/crl/productshttp://mscrl.microsoft.com/pki/mscorphttp://www.microsoft.com/pki/certshttp://www.microsoft.com/pki/mscorphttp://www.microsoft.com/pkiops/crlhttp://www.microsoft.com/pkiops/certs |
HTTP 80 | VIP público - /27 | Não necessário. Prática recomendada de segurança altamente recomendada. |
| LDAP Permite que o Azure Stack Hub se comunique com o Microsoft Active Directory local. |
Floresta do Active Directory fornecida para integração com o Graph | TCP & UDP 389 | VIP público - /27 | Necessário quando o Azure Stack Hub é implantado usando o AD FS. |
| LDAP SSL Permite que o Azure Stack Hub se comunique criptografado com o Microsoft Active Directory local. |
Floresta do Active Directory fornecida para integração com o Graph | TCP 636 | VIP público - /27 | Necessário quando o Azure Stack Hub é implantado usando o AD FS. |
| LDAP GC Permite que o Azure Stack Hub se comunique com os Servidores de Catálogo Global Ativos da Microsoft. |
Floresta do Active Directory fornecida para integração com o Graph | TCP 3268 | VIP público - /27 | Necessário quando o Azure Stack Hub é implantado usando o AD FS. |
| LDAP GC SSL Permite que o Azure Stack Hub se comunique criptografado com os Servidores de Catálogo Global do Microsoft Active Directory. |
Floresta do Active Directory fornecida para integração com o Graph | TCP 3269 | VIP público - /27 | Necessário quando o Azure Stack Hub é implantado usando o AD FS. |
| AD FS Permite que o Azure Stack Hub se comunique com o AD FS local. |
Ponto de extremidade de metadados do AD FS fornecido para integração do AD FS | TCP 443 | VIP público - /27 | Opcional. A relação de confiança do provedor de declarações do AD FS pode ser criada usando um arquivo de metadados. |
| Coleta de logs de diagnóstico Permite que o Azure Stack Hub envie logs de forma proativa ou manual por um operador para o suporte da Microsoft. |
https://*.blob.core.windows.nethttps://azsdiagprdlocalwestus02.blob.core.windows.nethttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.comhttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | VIP público - /27 | Não necessário. Você pode salvar logs localmente. |
| Suporte remoto Permite que os profissionais de suporte da Microsoft resolvam o caso de suporte mais rapidamente, permitindo o acesso ao dispositivo remotamente para executar operações limitadas de solução de problemas e reparo. |
https://edgesupprd.trafficmanager.nethttps://edgesupprdwestusfrontend.westus2.cloudapp.azure.comhttps://edgesupprdwesteufrontend.westeurope.cloudapp.azure.comhttps://edgesupprdeastusfrontend.eastus.cloudapp.azure.comhttps://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.comhttps://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com*.servicebus.windows.net |
HTTPS 443 | VIP público - /27 | Não necessário. |
| Telemetria Permite que o Azure Stack Hub envie dados de telemetria para a Microsoft. |
https://settings-win.data.microsoft.comhttps://login.live.com*.events.data.microsoft.comA partir da versão 2108, os seguintes pontos de extremidade também são necessários: https://*.blob.core.windows.net/https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/ |
HTTPS 443 | VIP público - /27 | Necessário quando a telemetria do Azure Stack Hub está habilitada. |
As URLs de saída são balanceadas usando o gerenciador de tráfego do Azure para fornecer a melhor conectividade possível com base na localização geográfica. Com URLs com balanceamento de carga, a Microsoft pode atualizar e alterar pontos de extremidade de back-end sem afetar os clientes. A Microsoft não compartilha a lista de endereços IP para as URLs com balanceamento de carga. Use um dispositivo que dê suporte à filtragem por URL em vez de por IP.
O DNS de saída é necessário o tempo todo; o que varia é a fonte que consulta o DNS externo e que tipo de integração de identidade foi escolhida. Durante a implantação de um cenário conectado, o DVM que fica na rede BMC precisa de acesso de saída. Mas após a implantação, o serviço DNS é movido para um componente interno que enviará consultas por meio de um VIP público. Nesse momento, o acesso DNS de saída por meio da rede BMC pode ser removido, mas o acesso VIP público a esse servidor DNS deve permanecer ou a autenticação falhará.