Publicar serviços do Azure Stack Hub em seu datacenter
O Azure Stack Hub configura endereços IP virtuais (VIPs) para suas funções de infraestrutura. Esses VIPs são alocados a partir do pool de endereços IP públicos. Cada VIP é protegido com uma lista de controle de acesso (ACL) na camada de rede definida por software. As ACLs também são usadas nos switches físicos (TORs e BMC) para endurecer ainda mais a solução. Uma entrada DNS é criada para cada ponto de extremidade na zona DNS externa especificada no momento da implantação. Por exemplo, o portal do usuário recebe a entrada de host DNS do portal.<região>.<FQDN>.
O diagrama de arquitetura a seguir mostra as diferentes camadas de rede e ACLs:
Portas e URLs
Para disponibilizar os serviços do Azure Stack Hub (como portais, Azure Resource Manager, DNS e assim por diante) para redes externas, você deve permitir o tráfego de entrada para esses pontos de extremidade para URLs, portas e protocolos específicos.
Em uma implantação em que um proxy transparente uplinks para um servidor proxy tradicional ou um firewall está protegendo a solução, você deve permitir portas e URLs específicas para comunicação de entrada e saída . Isso inclui portas e URLs para identidade, mercado, patch e atualização, registro e dados de uso.
A intercetação de tráfego SSL não é suportada e pode levar a falhas de serviço ao acessar pontos de extremidade.
Portas e protocolos (entrada)
Um conjunto de VIPs de infraestrutura é necessário para publicar pontos de extremidade do Azure Stack Hub em redes externas. A tabela Endpoint (VIP) mostra cada ponto de extremidade, a porta necessária e o protocolo. Consulte a documentação de implantação específica do provedor de recursos para pontos de extremidade que exigem provedores de recursos adicionais, como o provedor de recursos SQL.
Os VIPs de infraestrutura interna não são listados porque não são necessários para publicar o Azure Stack Hub. Os VIPs de usuário são dinâmicos e definidos pelos próprios usuários, sem controle pelo operador do Azure Stack Hub.
Com a adição do host de extensão, portas no intervalo de 12495-30015 não são necessárias.
| Ponto final (VIP) | Registo de anfitrião DNS A | Protocolo | Portas |
|---|---|---|---|
| AD FS | Adfs.<região>.<FQDN> | HTTPS | 443 |
| Portal (administrador) | Portal de administração.<região>.<FQDN> | HTTPS | 443 |
| Adminhosting | *.adminhosting.<região>.<FQDN> | HTTPS | 443 |
| Azure Resource Manager (administrador) | Gestão administrativa.<região>.<FQDN> | HTTPS | 443 |
| Portal (utilizador) | Portal.<região>.<FQDN> | HTTPS | 443 |
| Azure Resource Manager (usuário) | Gestão.<região>.<FQDN> | HTTPS | 443 |
| Gráfico | Gráfico.<região>.<FQDN> | HTTPS | 443 |
| Lista de revogação de certificados | Crl.<região>.<FQDN> | HTTP | 80 |
| DNS | *.<região>.<FQDN> | TCP & UDP | 53 |
| Alojamento | *.hospedagem.<região>.<FQDN> | HTTPS | 443 |
| Cofre da Chave (utilizador) | *.cofre.<região>.<FQDN> | HTTPS | 443 |
| Cofre da Chave (administrador) | *.adminvault.<região>.<FQDN> | HTTPS | 443 |
| Fila de Armazenamento | *.fila.<região>.<FQDN> | HTTP HTTPS |
80 443 |
| Tabela de Armazenamento | *.tabela.<região>.<FQDN> | HTTP HTTPS |
80 443 |
| Blob de Armazenamento | *.blob.<região>.<FQDN> | HTTP HTTPS |
80 443 |
| Fornecedor de Recursos SQL | SqlAdapter.dbAdapter.<região>.<FQDN> | HTTPS | 44300-44304 |
| Fornecedor de Recursos do MySQL | mysqladapter.dbadapter.<região>.<FQDN> | HTTPS | 44300-44304 |
| Serviço de Aplicações | *.appservice.<região>.<FQDN> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
| *.scm.appservice.<região>.<FQDN> | TCP | 443 (HTTPS) | |
| api.appservice.<região>.<FQDN> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
| ftp.appservice.<região>.<FQDN> | TCP, UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
| Gateways de VPN | Protocolo IP 50 & UDP | Carga útil de segurança de encapsulamento (ESP) IPSec & UDP 500 e 4500 |
Portas e URLs (saída)
O Azure Stack Hub suporta apenas servidores proxy transparentes. Em uma implantação com um uplink de proxy transparente para um servidor proxy tradicional, você deve permitir as portas e URLs na tabela a seguir para comunicação de saída. Para obter mais informações sobre como configurar servidores proxy transparentes, consulte Proxy transparente para o Azure Stack Hub.
A intercetação de tráfego SSL não é suportada e pode levar a falhas de serviço ao acessar pontos de extremidade. O tempo limite máximo suportado para se comunicar com pontos de extremidade necessários para a identidade é de 60s.
Nota
O Azure Stack Hub não oferece suporte ao uso da Rota Expressa para alcançar os serviços do Azure listados na tabela a seguir porque a Rota Expressa pode não conseguir rotear o tráfego para todos os pontos de extremidade.
| Propósito | URL de destino | Protocolo / Portas | Rede de origem | Necessidade |
|---|---|---|---|---|
| Identidade Permite que o Azure Stack Hub se conecte ao Microsoft Entra ID para autenticação de Usuário & Service. |
Azurelogin.windows.netlogin.microsoftonline.comgraph.windows.nethttps://secure.aadcdn.microsoftonline-p.comwww.office.comManagementServiceUri = https://management.core.windows.netARMUri = https://management.azure.comhttps://*.msftauth.nethttps://*.msauth.nethttps://*.msocdn.comAzure Government https://login.microsoftonline.us/https://graph.windows.net/Azure China 21Vianet https://login.chinacloudapi.cn/https://graph.chinacloudapi.cn/Azure Alemanha https://login.microsoftonline.de/https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
VIP Público - /27 Rede de infraestruturas públicas |
Obrigatório para uma implantação conectada. |
| Distribuição do mercado Permite que você baixe itens para o Azure Stack Hub do Marketplace e os disponibilize para todos os usuários usando o ambiente do Azure Stack Hub. |
Azurehttps://management.azure.comhttps://*.blob.core.windows.nethttps://*.azureedge.netAzure Government https://management.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn/http://*.blob.core.chinacloudapi.cn |
HTTPS 443 | VIP Público - /27 | Não necessário. Use as instruções de cenário desconectado para carregar imagens no Azure Stack Hub. |
| Patch & Atualização Quando conectado a pontos de extremidade de atualização, as atualizações de software e os hotfixes do Azure Stack Hub são exibidos como disponíveis para download. |
https://*.azureedge.nethttps://aka.ms/azurestackautomaticupdate |
HTTPS 443 | VIP Público - /27 | Não necessário. Use as instruções de conexão de implantação desconectada para baixar e preparar manualmente a atualização. |
| Registo Permite que você registre o Azure Stack Hub no Azure para baixar itens do Azure Marketplace e configurar relatórios de dados de comércio para a Microsoft. |
Azurehttps://management.azure.comAzure Government https://management.usgovcloudapi.net/Azure China 21Vianet https://management.chinacloudapi.cn |
HTTPS 443 | VIP Público - /27 | Não necessário. Você pode usar o cenário desconectado para registro offline. |
| Utilização Permite que os operadores do Azure Stack Hub configurem sua instância do Azure Stack Hub para relatar dados de uso para o Azure. |
Azurehttps://*.trafficmanager.nethttps://*.cloudapp.azure.comAzure Government https://*.usgovtrafficmanager.nethttps://*.cloudapp.usgovcloudapi.netAzure China 21Vianet https://*.trafficmanager.cnhttps://*.cloudapp.chinacloudapi.cn |
HTTPS 443 | VIP Público - /27 | Necessário para o modelo de licenciamento baseado no consumo do Azure Stack Hub. |
| Windows Defender Permite que o provedor de recursos de atualização baixe definições de antimalware e atualizações do mecanismo várias vezes por dia. |
*.wdcp.microsoft.com*.wdcpalt.microsoft.com*.wd.microsoft.com*.update.microsoft.com*.download.microsoft.comhttps://secure.aadcdn.microsoftonline-p.com |
HTTPS 80, 443 | VIP Público - /27 Rede de infraestruturas públicas |
Não necessário. Você pode usar o cenário desconectado para atualizar arquivos de assinatura antivírus. |
| NTP Permite que o Azure Stack Hub se conecte a servidores de tempo. |
(IP do servidor NTP fornecido para implantação) | UDP 123 | VIP Público - /27 | Necessário |
| DNS Permite que o Azure Stack Hub se conecte ao encaminhador do servidor DNS. |
(IP do servidor DNS fornecido para implantação) | TCP & UDP 53 | VIP Público - /27 | Necessário |
| SYSLOG Permite que o Azure Stack Hub envie mensagens syslog para fins de monitoramento ou segurança. |
(IP do servidor SYSLOG fornecido para implantação) | TCP 6514, PDU 514 |
VIP Público - /27 | Opcional |
| LCR Permite que o Azure Stack Hub valide certificados e verifique se há certificados revogados. |
URL em Pontos de Distribuição de CRL em seus certificados | HTTP 80 | VIP Público - /27 | Necessário |
| LCR Permite que o Azure Stack Hub valide certificados e verifique se há certificados revogados. |
http://crl.microsoft.com/pki/crl/productshttp://mscrl.microsoft.com/pki/mscorphttp://www.microsoft.com/pki/certshttp://www.microsoft.com/pki/mscorphttp://www.microsoft.com/pkiops/crlhttp://www.microsoft.com/pkiops/certs |
HTTP 80 | VIP Público - /27 | Não necessário. Práticas recomendadas de segurança altamente recomendadas. |
| LDAP Permite que o Azure Stack Hub se comunique com o Microsoft Ative Directory local. |
Floresta do Ative Directory fornecida para integração com o Graph | TCP & UDP 389 | VIP Público - /27 | Necessário quando o Azure Stack Hub é implantado usando o AD FS. |
| LDAP SSL Permite que o Azure Stack Hub se comunique criptografado com o Microsoft Ative Directory local. |
Floresta do Ative Directory fornecida para integração com o Graph | TCP 636 [en] | VIP Público - /27 | Necessário quando o Azure Stack Hub é implantado usando o AD FS. |
| LDAP GC Permite que o Azure Stack Hub se comunique com os Servidores de Catálogo Global do Microsoft Ative. |
Floresta do Ative Directory fornecida para integração com o Graph | TCP 3268 | VIP Público - /27 | Necessário quando o Azure Stack Hub é implantado usando o AD FS. |
| LDAP GC SSL Permite que o Azure Stack Hub se comunique criptografado com os Servidores de Catálogo Global do Microsoft Ative Directory. |
Floresta do Ative Directory fornecida para integração com o Graph | TCP 3269 | VIP Público - /27 | Necessário quando o Azure Stack Hub é implantado usando o AD FS. |
| AD FS Permite que o Azure Stack Hub se comunique com o AD FS local. |
Ponto de extremidade de metadados do AD FS fornecido para integração com o AD FS | TCP 443 | VIP Público - /27 | Opcional. A confiança do provedor de declarações do AD FS pode ser criada usando um arquivo de metadados. |
| Coleta de log de diagnóstico Permite que o Azure Stack Hub envie logs de forma proativa ou manual por um operador para o suporte da Microsoft. |
https://*.blob.core.windows.nethttps://azsdiagprdlocalwestus02.blob.core.windows.nethttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.comhttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | VIP Público - /27 | Não necessário. Você pode salvar logs localmente. |
| Suporte remoto Permite que os profissionais de suporte da Microsoft resolvam casos de suporte mais rapidamente, permitindo o acesso ao dispositivo remotamente para executar operações limitadas de solução de problemas e reparo. |
https://edgesupprd.trafficmanager.nethttps://edgesupprdwestusfrontend.westus2.cloudapp.azure.comhttps://edgesupprdwesteufrontend.westeurope.cloudapp.azure.comhttps://edgesupprdeastusfrontend.eastus.cloudapp.azure.comhttps://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.comhttps://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com*.servicebus.windows.net |
HTTPS 443 | VIP Público - /27 | Não necessário. |
| Telemetria Permite que o Azure Stack Hub envie dados de telemetria para a Microsoft. |
https://settings-win.data.microsoft.comhttps://login.live.com*.events.data.microsoft.comA partir da versão 2108, os seguintes pontos de extremidade também são necessários: https://*.blob.core.windows.net/https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/ |
HTTPS 443 | VIP Público - /27 | Necessário quando a telemetria do Azure Stack Hub está habilitada. |
As URLs de saída têm balanceamento de carga usando o gerenciador de tráfego do Azure para fornecer a melhor conectividade possível com base na localização geográfica. Com URLs com balanceamento de carga, a Microsoft pode atualizar e alterar pontos de extremidade de back-end sem afetar os clientes. A Microsoft não compartilha a lista de endereços IP para as URLs com balanceamento de carga. Utilize um dispositivo que suporte a filtragem por URL em vez de por IP.
O DNS de saída é sempre necessário; o que varia é a fonte que consulta o DNS externo e que tipo de integração de identidade foi escolhida. Durante a implantação para um cenário conectado, o DVM que fica na rede BMC precisa de acesso de saída. Mas após a implantação, o serviço DNS é movido para um componente interno que enviará consultas por meio de um VIP público. Nesse momento, o acesso DNS de saída através da rede BMC pode ser removido, mas o acesso VIP público a esse servidor DNS deve permanecer ou a autenticação falhará.