在您的數據中心發佈 Azure Stack Hub 服務
Azure Stack Hub 會為其基礎結構角色設定虛擬IP位址(VIP)。 這些 VIP 會從公用 IP 位址池進行配置。 每個VIP都會使用軟體定義網路層中的訪問控制清單 (ACL) 來保護。 ACL 也會用於實體交換器(TOR 和 BMC),以進一步強化解決方案。 系統會針對部署時間所指定之外部 DNS 區域中的每個端點建立 DNS 專案。 例如,使用者入口網站會指派入口網站的 DNS 主機專案。<region>。<fqdn>。
下列架構圖顯示不同的網路層和 ACL:
埠和 URL
若要讓 Azure Stack Hub 服務(例如入口網站、Azure Resource Manager、DNS 等)提供給外部網路,您必須允許這些端點的輸入流量供特定 URL、埠和通訊協定使用。
在透明 Proxy 上行連結至傳統 Proxy 伺服器或防火牆保護解決方案的部署中,您必須允許輸入和輸出通訊的特定埠和 URL。 其中包括身分識別、市集、修補和更新、註冊和使用方式數據的埠和 URL。
不支援 SSL 流量攔截,而且在存取端點時可能會導致服務失敗。
連接埠和通訊協定 (輸入)
需要一組基礎結構 VIP,才能將 Azure Stack Hub 端點發佈至外部網路。 端點 (VIP) 資料表會顯示每個端點、所需的埠和通訊協定。 如需需要其他資源提供者的端點,請參閱特定的資源提供者部署檔,例如 SQL 資源提供者。
內部基礎結構 VIP 不會列出,因為它們不需要發佈 Azure Stack Hub。 使用者 VIP 是動態的,由使用者本身定義,Azure Stack Hub 操作員無法控制。
新增擴充主機時,不需要 12495-30015 範圍內的埠。
| 端點 (VIP) | DNS 主機 A 記錄 | 通訊協定 | 連接埠 |
|---|---|---|---|
| AD FS | Adfs。<region>。<fqdn> | HTTPS | 443 |
| 入口網站 (系統管理員) | Adminportal。<region>。<fqdn> | HTTPS | 443 |
| Adminhosting | *.adminhosting。<region>。<fqdn> | HTTPS | 443 |
| Azure Resource Manager(系統管理員) | Adminmanagement。<region>。<fqdn> | HTTPS | 443 |
| 入口網站 (使用者) | Portal.<region>.<fqdn> | HTTPS | 443 |
| Azure Resource Manager(使用者) | 管理。<region>。<fqdn> | HTTPS | 443 |
| 圖表 | 圖。<region>。<fqdn> | HTTPS | 443 |
| 憑證撤銷清單 | Crl。<region>。<fqdn> | HTTP | 80 |
| DNS | *.<region>。<fqdn> | TCP 和 UDP | 53 |
| 裝載 | *。好客。<region>。<fqdn> | HTTPS | 443 |
| 金鑰保存庫 (使用者) | *。庫。<region>。<fqdn> | HTTPS | 443 |
| 金鑰保存庫 (系統管理員) | *.adminvault。<region>。<fqdn> | HTTPS | 443 |
| 儲存體佇列 | *。佇列。<region>。<fqdn> | HTTP HTTPS |
80 443 |
| 儲存體資料表 | *。桌子。<region>。<fqdn> | HTTP HTTPS |
80 443 |
| 儲存體 Blob | *.blob。<region>。<fqdn> | HTTP HTTPS |
80 443 |
| SQL 資源提供者 | sqladapter.dbadapter。<region>。<fqdn> | HTTPS | 44300-44304 |
| MySQL 資源提供者 | mysqladapter.dbadapter。<region>。<fqdn> | HTTPS | 44300-44304 |
| 應用程式服務 | *.appservice。<region>。<fqdn> | TCP | 80 (HTTP) 443 (HTTPS) 8172 (MSDeploy) |
| *.scm.appservice。<region>。<fqdn> | TCP | 443 (HTTPS) | |
| api.appservice。<region>。<fqdn> | TCP | 443 (HTTPS) 44300 (Azure Resource Manager) |
|
| ftp.appservice。<region>。<fqdn> | TCP、UDP | 21, 1021, 10001-10100 (FTP) 990 (FTPS) |
|
| VPN 閘道 | IP 通訊協定 50 和 UDP | 封裝安全性承載 (ESP) IPSec 和 UDP 500 和 4500 |
連接埠和網址 (輸出)
Azure Stack Hub 僅支援透明 Proxy 伺服器。 在具有傳統 Proxy 伺服器的透明 Proxy 上行連結的部署中,您必須允許下表中的埠和 URL 進行輸出通訊。 如需設定透明 Proxy 伺服器的詳細資訊,請參閱 Azure Stack Hub 的透明 Proxy。
不支援 SSL 流量攔截,而且在存取端點時可能會導致服務失敗。 與身分識別所需的端點通訊所支援的逾時上限為 60 秒。
注意
Azure Stack Hub 不支援使用 ExpressRoute 連線到下表所列的 Azure 服務,因為 ExpressRoute 可能無法將流量路由傳送至所有端點。
| 目的 | 目的地 URL | 通訊協定/ 埠 | 來源網路 | 需求 |
|---|---|---|---|---|
| 身分識別 允許 Azure Stack Hub 連線到 Microsoft Entra ID 以進行使用者和服務驗證。 |
Azurelogin.windows.netlogin.microsoftonline.comgraph.windows.nethttps://secure.aadcdn.microsoftonline-p.comwww.office.comManagementServiceUri = https://management.core.windows.netARMUri = https://management.azure.comhttps://*.msftauth.nethttps://*.msauth.nethttps://*.msocdn.comAzure Government https://login.microsoftonline.us/https://graph.windows.net/Azure 中國 21Vianet https://login.chinacloudapi.cn/https://graph.chinacloudapi.cn/Azure Germany https://login.microsoftonline.de/https://graph.cloudapi.de/ |
HTTP 80, HTTPS 443 |
公用VIP - /27 公用基礎結構網路 |
線上部署的必要專案。 |
| Marketplace 新聞訂閱 可讓您從 Marketplace 將專案下載至 Azure Stack Hub,並讓所有使用者使用 Azure Stack Hub 環境。 |
Azurehttps://management.azure.comhttps://*.blob.core.windows.nethttps://*.azureedge.netAzure Government https://management.usgovcloudapi.net/https://*.blob.core.usgovcloudapi.net/Azure 中國 21Vianet https://management.chinacloudapi.cn/http://*.blob.core.chinacloudapi.cn |
HTTPS 443 | 公用VIP - /27 | 非必要。 使用中斷連線的 案例指示 ,將映射上傳至 Azure Stack Hub。 |
| Patch 和 Update 連線到更新端點時,Azure Stack Hub 軟體更新和 Hotfix 會顯示為可供下載。 |
https://*.azureedge.nethttps://aka.ms/azurestackautomaticupdate |
HTTPS 443 | 公用VIP - /27 | 非必要。 使用已中斷連線的 部署連線指示 ,手動下載並準備更新。 |
| 註冊 可讓您向 Azure 註冊 Azure Stack Hub 以下載 Azure Marketplace 專案,並將商務數據回報設定回Microsoft。 |
Azurehttps://management.azure.comAzure Government https://management.usgovcloudapi.net/Azure 中國 21Vianet https://management.chinacloudapi.cn |
HTTPS 443 | 公用VIP - /27 | 非必要。 您可以使用已中斷連線的案例進行 離線註冊。 |
| 使用方式 可讓 Azure Stack Hub 操作員設定其 Azure Stack Hub 實例,以將使用量數據回報給 Azure。 |
Azurehttps://*.trafficmanager.nethttps://*.cloudapp.azure.comAzure Government https://*.usgovtrafficmanager.nethttps://*.cloudapp.usgovcloudapi.netAzure 中國 21Vianet https://*.trafficmanager.cnhttps://*.cloudapp.chinacloudapi.cn |
HTTPS 443 | 公用VIP - /27 | Azure Stack Hub 取用型授權模型的必要專案。 |
| Windows Defender 允許更新資源提供者每天下載反惡意代碼定義和引擎更新多次。 |
*.wdcp.microsoft.com*.wdcpalt.microsoft.com*.wd.microsoft.com*.update.microsoft.com*.download.microsoft.comhttps://secure.aadcdn.microsoftonline-p.com |
HTTPS 80、443 | 公用VIP - /27 公用基礎結構網路 |
非必要。 您可以使用已中斷連線的 案例來更新防毒簽章檔案。 |
| NTP 允許 Azure Stack Hub 連線到時間伺服器。 |
(提供用於部署的 NTP 伺服器的 IP) | UDP 123 | 公用VIP - /27 | 必要 |
| DNS 允許 Azure Stack Hub 連線到 DNS 伺服器轉寄站。 |
(提供用於部署的 DNS 伺服器的 IP) | TCP 和 UDP 53 | 公用VIP - /27 | 必要 |
| SYSLOG 允許 Azure Stack Hub 傳送 syslog 訊息以進行監視或安全性。 |
(提供用於部署的 SYSLOG 伺服器的 IP) | TCP 6514、 UDP 514 |
公用VIP - /27 | 選擇性 |
| CRL 允許 Azure Stack Hub 驗證憑證,並檢查撤銷的憑證。 |
憑證上CRL發佈點底下的URL | HTTP 80 | 公用VIP - /27 | 必要 |
| CRL 允許 Azure Stack Hub 驗證憑證,並檢查撤銷的憑證。 |
http://crl.microsoft.com/pki/crl/productshttp://mscrl.microsoft.com/pki/mscorphttp://www.microsoft.com/pki/certshttp://www.microsoft.com/pki/mscorphttp://www.microsoft.com/pkiops/crlhttp://www.microsoft.com/pkiops/certs |
HTTP 80 | 公用VIP - /27 | 非必要。 強烈建議使用的安全性最佳做法。 |
| LDAP 允許 Azure Stack Hub 與內部部署Microsoft Active Directory 通訊。 |
提供用於圖形整合的Active Directory 樹系 | TCP 和 UDP 389 | 公用VIP - /27 | 使用 AD FS 部署 Azure Stack Hub 時需要。 |
| LDAP SSL 允許 Azure Stack Hub 與內部部署Microsoft Active Directory 進行加密通訊。 |
提供用於圖形整合的Active Directory 樹系 | TCP 636 | 公用VIP - /27 | 使用 AD FS 部署 Azure Stack Hub 時需要。 |
| LDAP GC 允許 Azure Stack Hub 與作用中全域編錄伺服器Microsoft通訊。 |
提供用於圖形整合的Active Directory 樹系 | TCP 3268 | 公用VIP - /27 | 使用 AD FS 部署 Azure Stack Hub 時需要。 |
| LDAP GC SSL 允許 Azure Stack Hub 與 Microsoft Active Directory 全域編錄伺服器進行加密通訊。 |
提供用於圖形整合的Active Directory 樹系 | TCP 3269 | 公用VIP - /27 | 使用 AD FS 部署 Azure Stack Hub 時需要。 |
| AD FS 允許 Azure Stack Hub 與內部部署 AD FS 通訊。 |
AD FS 元數據端點提供給AD FS整合 | TCP 443 | 公用VIP - /27 | 選擇性。 您可以使用元資料檔案來建立AD FS 宣告提供者信任。 |
| 診斷記錄收集 可讓 Azure Stack Hub 主動或手動傳送記錄給操作員,以Microsoft支援。 |
https://*.blob.core.windows.nethttps://azsdiagprdlocalwestus02.blob.core.windows.nethttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.comhttps://azsdiagprdwestusfrontend.westus.cloudapp.azure.com |
HTTPS 443 | 公用VIP - /27 | 非必要。 您可以在 本機儲存記錄。 |
| 遠程支援 允許Microsoft支援專業人員透過允許從遠端存取裝置來執行有限的疑難解答和修復作業,更快速地解決支援案例。 |
https://edgesupprd.trafficmanager.nethttps://edgesupprdwestusfrontend.westus2.cloudapp.azure.comhttps://edgesupprdwesteufrontend.westeurope.cloudapp.azure.comhttps://edgesupprdeastusfrontend.eastus.cloudapp.azure.comhttps://edgesupprdwestcufrontend.westcentralus.cloudapp.azure.comhttps://edgesupprdasiasefrontend.southeastasia.cloudapp.azure.com*.servicebus.windows.net |
HTTPS 443 | 公用VIP - /27 | 非必要。 |
| 遙測 允許 Azure Stack Hub 將遙測數據傳送至Microsoft。 |
https://settings-win.data.microsoft.comhttps://login.live.com*.events.data.microsoft.com從 2108 版開始,也需要下列端點: https://*.blob.core.windows.net/https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/ |
HTTPS 443 | 公用VIP - /27 | 啟用 Azure Stack Hub 遙測時為必要專案。 |
輸出 URL 會使用 Azure 流量管理員進行負載平衡,以根據地理位置提供最佳的連線能力。 使用負載平衡的 URL,Microsoft可以更新和變更後端端點,而不會影響客戶。 Microsoft不會共用負載平衡 URL 的 IP 位址清單。 使用支援依 URL 而非 IP 進行篩選的裝置。
所有時間都需要輸出 DNS;不同的是查詢外部 DNS 的來源,以及選擇何種類型的身分識別整合。 在連線案例的部署期間,位於 BMC 網路上的 DVM 需要輸出存取。 但在部署之後,DNS 服務會移至內部元件,以透過公用VIP傳送查詢。 此時,可以移除透過 BMC 網路的輸出 DNS 存取,但該 DNS 伺服器的公用 VIP 存取必須維持,否則驗證將會失敗。